Los virus de criptomonedas ya no son infrecuentes. La tarea principal que realizan es la minería de criptomonedas en los dispositivos de los usuarios. Algunos infectan las PC, otros, las páginas de los sitios visitados y no muy. Una de las botnets más efectivas, por así decirlo, es
Smominru . Ayudó a sus dueños a ganar más de $ 3.6 millones en términos de dólares. Está claro que la criptomoneda no se extrae en fiat, sino en Monero, una criptomoneda anónima que se está volviendo cada vez más popular.
En cuanto al período de tiempo durante el cual los atacantes recibieron una cantidad tan grande, estamos hablando de 9-10 meses. Todo comenzó en mayo de 2017, cuando Smominru comenzó a extenderse activamente. Desde entonces, ha infectado más de 526 mil autos.
“Bitcoin se ha convertido en una criptomoneda no muy rentable desde el punto de vista de la minería, las principales capacidades mineras se concentran en las granjas mineras. Como resultado, el interés de los ciberdelincuentes en Monero ha aumentado muchas veces ”, dijo uno de los investigadores de seguridad de redes con el sobrenombre de Kafeine. Su publicación se publica en el sitio web de una empresa especializada en seguridad de redes
llamada Proofpoint.
“Por supuesto, Monero no se puede extraer en grandes cantidades en las PC domésticas. Pero las botnets distribuidas como Smominru son bastante capaces de esto ”, continúa el investigador. Además de la botnet especificada, también hay Adylkuzz y Zealot. Todos ellos tienen una cosa en común: el código desarrollado en las entrañas de la NDA y presentado hace un año y medio por el grupo de hackers Shadow Brokers. Hasta ahora, este código es relevante y permite a los atacantes descifrar sistemas IoT, computadoras personales y realizar otras acciones.
Smominru utiliza exploits para infectar computadoras, una de las cuales es
EternalBlue . El virus funciona con él para propagarse de una máquina a otra dentro de la red infectada. Además, esta vulnerabilidad se usa en computadoras donde otros métodos de piratería no funcionan. Por supuesto, esta vulnerabilidad solo funcionará en sistemas sin un parche instalado. Smominru también usa la interfaz de administración de Windows.
Una botnet en sí misma es inofensiva, como se mencionó anteriormente. Pero si infecta una red de empresas, las empresas sufren pérdidas. El problema es que la minería es un proceso de uso intensivo de recursos que quita recursos gratuitos de las máquinas. Como resultado, muchas operaciones de trabajo comienzan a disminuir o se detienen por completo. El problema también es que la electricidad se consume durante la minería, y esto es una pérdida directa para las empresas. Costos de trabajo, pero se consume energía.
La botnet funciona con el grupo de minería Monero MineXMR. Ahora, los expertos en seguridad de redes están tratando de eliminar la botnet y las redes con las que está asociada.
Otras botnets de minería, como WannaMine, también están operando ahora. Todos ellos son similares entre sí y explotan casi las mismas vulnerabilidades. Son peligrosos porque funcionan sin descargar ningún archivo, además, utilizan software "legítimo" como WMI y PowerShell, lo que hace que los virus de minería sean difíciles de detectar. Probablemente, para bloquearlos por completo, se necesitan nuevos tipos de antivirus, que durante la operación tendrán en cuenta las características de dicho malware.
La minería es utilizada no solo por los criptovirus, sino también por varios tipos de recursos populares. Por ejemplo, el rastreador de torrents The Pirate Bay
agrega regularmente un script de cripto minero a sus páginas. Esto se supo por primera vez el 17 de septiembre. Fue entonces cuando el recurso probó por primera vez al minero como una alternativa a los anuncios publicitarios en el sitio. Nadie hackeó el recurso, es la administración del rastreador que decidió obtener algunos fondos adicionales para mantener el rastreador. Es cierto que esto se hizo sin previo aviso, nadie pidió a los usuarios su consentimiento.
Se encontró al minero porque la computadora en la que se cargó la página con el script especial comenzó a funcionar más lentamente. Luego, la administración del rastreador instaló el código con la nueva configuración, lo que aseguró una carga mucho menor en los sistemas del cliente, para que los usuarios no puedan sospechar nada.
La lucha contra los criptomineros es llevada a cabo por muchas organizaciones de la red. Uno de ellos es el proveedor de Cloudflare CDN. Anteriormente, esta compañía congeló la cuenta de otro rastreador de torrents, y solo por la misma razón: trabajando con mineros de cifrado. Lo más probable es que, con el tiempo, los criptovirus se propaguen más ampliamente y sea más difícil detectarlos.