Kaspersky Lab

 

Notas de Prensa

26.09.2017

Las botnets extractoras han vuelto, infectando a miles de PCs y generando miles de euros para los cibercriminales

En 2016, Kaspersky Lab informó de la existencia de una red botnet integrada por más de 1.000 PCs dedicada a la extracción de criptomoneda

En los primeros ocho meses de 2017, Kaspersky Lab ha protegido a 1,65 millones de usuarios de este tipo de ataques frente a los 205.000 usuarios de 2013

El equipo de analistas de Kaspersky Lab ha identificado dos botnets formadas por ordenadores infectados con malware que, de forma silenciosa, instala extractores de criptomonedas, un software legítimo utilizado para crear monedas virtuales mediante tecnología blockchain. En un primer momento, los analistas estimaron que una red formada por 4.000 equipos había permitido hacerse con más de 25.000 euros mensuales. Y gracias a una segunda red, los criminales han logrado más de 165.000 euros gracias a una botnet formado por 5.000 PCs.

La arquitectura de Bitcoin y de otras criptomonedas permite que además de comprar o vender, un usuario pueda crear nuevas unidades de una moneda gracias a un software especializado instalado en su PC. Al mismo tiempo, y según el concepto de criptomoneda, cuantas más monedas se han creado, más tiempo y más recursos de PC son necesarios para crear una nueva unidad. 

Hace algunos años, el malware silente que servía para instalar extractores de Bitcoin (que utilizaba los ordenadores de las víctimas para que los cibercriminales se hicieran con la moneda), era algo frecuente en el panorama de ciberamenazas, pero cuantos más Bitcoin se extraían, más complicado era hacerse con nuevas unidades y, llegado a cierto punto el proceso era inútil puesto que el beneficio potencial que podía conseguirse de la extracción, ya no compensaba la inversión que había que hacer de creación y distribución del malware y de puesta en marcha de la infraestructura de soporte necesaria.

Los precios actuales alcanzados por Bitcoins, la principal y más conocida criptomoneda, que han tenido un aumento importante en los últimos años, pasando de apenas valer unos cientos a miles de dólares hoy, han dado lugar a toda una “ciberfiebre” mundial. Cientos de entusiastas y de startups han empezado a trabajar y lanzar sus propias alternativas, muchas de ellas con gran éxito en un tiempo relativamente corto.

Estos cambios en los mercados de las criptomonedas han atraído la atención y el interés de los cibercriminales, que están volviendo a utilizar tipos de fraude que aprovechan para instalar en miles de pc, un software de extracción de criptomonedas.

Según los resultados de un reciente estudio llevado a cabo por los analistas de Kaspersky Lab, los cibercriminales detrás de las botnets descubiertos, distribuyen el software de extracción con ayuda de programas de adware que los instalan voluntariamente las víctimas. Después de que el programa de adware se instala en el ordenador de las víctimas, procede a descargar un componente malicioso: el instalador del extractor. Este componente instala el software de extracción y, además, ejecuta algunas actividades para asegurar que la extracción trabaja todo el tiempo posible. Entre estas actividades se incluyen:

Intento de deshabilitar el software de seguridad;

Seguir todos los lanzamientos de la aplicación y suspender sus propias actividades si se encuentra con un programa que monitoriza las actividades del sistema o se inician los procesos de ejecución;

Se asegura que una copia del programa de extracción permanezca en el disco duro, o se restaure si es borrado.

Tan pronto como la primera moneda se extrae, se transfiere a las carteras de los criminales, dejando a las víctimas con un ordenador que no rinde adecuadamente y unas facturas de luz ligeramente más altas de lo habitual. Si tenemos en cuenta las observaciones de Kaspersky Lab, nos encontramos que los cibercriminales tienden a extraer sobre todo dos criptomonedas Zcash y Monero. En concreto, estas dos monedas son seleccionadas porque ofrecen una forma viable de anonimizar las transacciones y las carteras de los propietarios.

Las primeras señales de un retorno de las extracciones maliciosas fueron identificadas por Kaspersky Lab el pasado diciembre de 2016, cuando un analista de la compañía informó que al menos 1.000 ordenadores estaban infectados con un malware que extraía Zcash, una criptomoneda lanzada a finales de octubre de 2016. En ese momento, gracias a que el precio de Zcash había subido rápidamente, la botnet pudo suponer para sus dueños algo más que 5.000 euros por semana. Esa predicción de nuevas botnets mineros fue posteriormente confirmada por los resultados de este nuevo estudio. 

El mayor problema que tenemos con los extractores maliciosos, es que es muy difícil detectar su actividad porque se está utilizando un software de extracción completamente legítimo, que en una situación normal podría haber sido instalado por un usuario legítimo. Otro elemento alarmante identificado al observar estos dos nuevos botnets, es que los extractores maliciosos están siendo cada vez más valorados en los mercados clandestinos. Hemos podido ver a cibercriminales ofreciendo autodenominados constructores de extractores: software que permite que cualquiera que quiera pagar por una versión completa, pueda crear su propia botnet de extracción. No nos debe sorprender si las botnets identificados no son los últimos”, dice Evgeny Lopatin, analista de malware de Kaspersky Lab.

El número de usuarios que han detectado extractores de criptomoneda, ha crecido drásticamente en los últimos años. En 2013, los productos de Kaspersky Lab protegieron a cerca de 205.000 usuarios en todo el mundo frente de este tipo de amenazas. En 2014, el número creció hasta los 701.000, y el número de atacados en los ocho primeros meses de 2017 ya ha superado los 1,65 millones.

Para prevenir que su ordenador pueda convertirse en zombi, los analistas de Kaspersky Lab recomiendan tomar las siguientes medidas:

No instales en tu PC ningún software sospechoso procedente de fuentes no fiables.

La funcionalidad de detección de adware puede encontrarse deshabilitada en tu solución de seguridad. Asegúrate que está activada.

Utiliza una solución reputada de seguridad de Internet, que te permita proteger tu entorno digital de todas las posibles amenazas, incluidos los extractores maliciosos.

Si estás utilizando un servidor, asegúrate que está protegido con una solución de seguridad, ya que los servidores son un objetivo muy interesante para los cibercriminales.

Los productos de Kaspersky Lab detectan y bloquean la extensión del malware malicioso de extracción con los siguientes nombres:

RiskTool.Win32.BitCoinMiner.hxao

PDM:Trojan.Win32.Generic

Más información sobre las recientemente descubiertas botnet de extracción en Securelist.com

Contacto de Prensa

Virginia Sanz

Enviado por e-mail

Tel. + 34-(0) 91 502 59 59

Descargar documento

Kaspersky Lab on the Web

Virus Analyst Blogs