Icono del sitio Technocio

Investigadores de ESET interrumpen una botnet que afectó a más de 35.000 usuarios

Luego de varios meses, investigadores de ESET desactivaron una botnet utilizada mayoritariamente en Perú para minar criptomonedas, y trabajaron en colaboración con otras instituciones para prevenir nuevas infecciones.

ESET logró interrumpir una botnet no documentada previamente, denominada “VictoryGate” por sus investigadores. Esta botnet fue utilizada por cibercriminales para minar criptomonedas en los equipos de las víctimas.

Esta amenaza, que estuvo activa desde mediados del 2019, comprometió el funcionamiento de al menos 35.000 equipos en América Latina. De este número de afectados, más de un 90% corresponden únicamente a usuarios y organizaciones privadas y públicas en Perú. Gracias a la información obtenida durante la investigación y mediante la colaboración de “Shadorserver” y “No-IP”, se logró interrumpir una porción significativa de la botnet.

Durante los trabajos de análisis de amenazas en la región, el Laboratorio de Investigaciones de ESET Latinoamérica identificó una serie de dominios codificados en diversas muestras relacionadas a esta campaña, que pudieron ser registrados. Con el objetivo de entender el alcance de la amenaza y el volumen de conexiones generadas por la misma, de la información recolectada se pudo determinar que unas 35.000 direcciones IP únicas contactaban al servidor malicioso.

VictoryGate”, fue una campaña masiva de malware que tenía como objetivo minar criptomonedas en los equipos infectados. Por las características encontradas en el código malicioso, se pudo determinar que su propagación se daba a través de dispositivos de almacenamiento extraíbles USB. Este factor explica, en gran medida, que se haya registrado el mayor número de equipos comprometidos dentro de un mismo país.

Una vez que el equipo era infectado, el código malicioso lo incluía en la botnet utilizada por el atacante para la minería de criptomonedas. Esta actividad hace un uso intensivo del procesador en el equipo de la víctima, en el caso de esta amenaza llegaba a comprometer hasta un 90% del mismo. Una particularidad de “VictoryGate”, es que incluía un componente que detenía el minado cuando se consultaba esta información. Además del perjuicio causado por la criptominería, los archivos que la víctima tenía en la unidad USB infectada quedaban completamente inaccesibles.

Teniendo en cuenta el número de direcciones IP que fueron alcanzadas por esta amenaza, la cantidad de conexiones por minuto al servidor malicioso y, la capacidad de cada equipo para minar criptomonedas, se estima que la cifra mínima obtenida por el autor fue de USD 6.000.

Una vez finalizada la investigación, y habiendo seguido todos los protocolos requeridos para estos casos, ESET compartió la inteligencia obtenida con “Shadowserver” para alertar a las autoridades locales sobre esta situación. Haber tenido el control sobre uno de los dominios utilizados en esta amenaza, hizo posible que la información obtenida pudiera ser utilizada para dar mayores precisiones a las autoridades acerca del accionar y el alcance que tuvo esta campaña maliciosa.

“Es un orgullo para nosotros poder anunciar la baja de esta botnet que afectaba principalmente a usuarios de Perú. Desde el Laboratorio de ESET trabajamos día a día en detectar posibles amenazas y acciones que afecten a los usuarios de internet, por tal motivo, haber concluido esta investigación de este modo y con la colaboración de las instituciones que nos ayudaron a alcanzar este logro es una gran satisfacción, y va alineado al espíritu de la compañía y nuestros objetivos de trabajo”, concluye Camilo Gutiérrez, jefe de Laboratorio de ESET Latinoamérica.

Salir de la versión móvil