Sedentuna botnet compleja de minería de criptomonedas de 2 años de antigüedad

Guardicore Labs, una empresa de ciberseguridad, afirma haberdentun complejo malware de minería de criptomonedas con dos años de antigüedad. Se trata de un bot malicioso que ha permanecido oculto en el mundo de la minería de criptomonedas durante más de dos años.

La revelación llega en un momento en que los estafadores acechan por todas partes aprovechando la pandemia del coronavirus. Numerosas organizaciones benéficas basadas en criptomonedas buscan ayuda para combatir la COVID-19, y los investigadores están perdiendo terreno ante las estafas relacionadas.

La amenaza de las botnets de minería de criptomonedas es real

La amenaza, denominada “Vollgar”, está asociada con Vollar (VSD), una criptomoneda alternativa de reciente lanzamiento. Sin embargo, su objetivo son los sistemas Windows que se ejecutan en servidores MS-SQL. Según la empresa de ciberseguridad, existen alrededor de medio millón de máquinas en todo el mundo que utilizan estos servidores.

Aunque estas máquinas son escasas, sus servidores ofrecen una capacidad de procesamiento considerable. Lo más preocupante es que almacenan contraseñas, nombres y datos bancarios de los usuarios, incluyendo información crucial de tarjetas de crédito.

Cómo funciona la botnet de minería de criptomonedas

El complejo malware de criptominería prolifera en servidores MS-SQL. Sin embargo, Vollgar tiende a eliminar otras actividades de amenaza e implementar sus herramientas de acceso remoto (RAT) además de los propios mineros. El informe añade que el 60 % de las infecciones fueron a corto plazo; alrededor del 20 % duraron varias semanas, mientras que el 10 % fueron ataques repetidos.

Los ataques apuntan a unas 120 direcciones IP que apuntan a China. Sin embargo, Guardicore enfatiza que las direcciones tienen algo en común: sus equipos están comprometidos y se están utilizando para infectar a otros. La empresa de seguridad añade que la culpa recae en las empresas de hosting corruptas.

Las empresas de hosting son las responsables, ya que facilitan que los atacantes usen sus nombres de dominio y direcciones IP. Si los proveedores no supervisan las actividades, el aumento de los ataques seguirá perjudicando a los usuarios de criptomonedas durante mucho tiempo.

La botnet de minería de criptomonedas Vollgar ataca

Según Ophir Harpaz, investigador de ciberseguridad de Guardicore Labs, Vollgar es superior a otras herramientas de criptojacking. El malware mina varias altcoins, como Vollar y Monero. Además, el bot utiliza un pool privado como red para su minería.

El investigador continúa señalando que el bot tiene capacidades multirganizadoras. Para lograrlo, implementa varios BAT además del minero de criptomonedas, lo que lo convierte en una herramienta eficaz en el mundo del cryptojacking.

Guardiscore afirma que sus investigaciones muestran que el primer ataque asociado con la botnet de minería de criptomonedas se detectó en mayo de 2018. Esto significa que han pasado casi dos años desde que se registró la primera actividad.