La empresa de seguridad ESET ha anunciado que ha logrado eliminar parte de la poderosa red de malware VictoryGate, que ha afectado unos 35.000 computadoras con sistema operativo Windows.
Esta red estaba activa desde mayo del 2019 y sus ataques se centraban en América Latina y, sobre todo, en Perú, país en el que se han registrado el 90 % de los casos de los miles de equipos afectados que solían ser ordenadores de empresas de sectores públicos y privados, incluyendo instituciones financieras.
Los atacantes utilizaban el malware para apoderarse de los equipos y convertirlos en minas para obtener la criptomoneda Monero. Para ello propagaban el malware a través de dispositivos como pinchos USB que al conectarse al ordenador de la víctima instalaban una carga maliciosa en el sistema operativo.
Tras su instalación, este software se comunicaba con un servidor C2 para introducir un código aleatorio en los procesos de Windows como un programa llamado XMRing. Se estima que entre los meses de febrero y marzo de 2000 a 35000 equipos fueron atacados por esta red.
«Según los datos que hemos obtenido durante el sondeo podemos afirmar que de media unos 2000 dispositivos se utilizaban como fuente de minería al día. Si tomamos una media de 150H/s el resultado nos lleva a suponer que los autores del presente sistema han obtenido al menos 80 unidades Monero (unos 6000$) con el montaje de esta única red. Una de las características más interesantes a cerca de VictoryGate es el esfuerzo por evitar ser detectada. (…) Dado que el gestor puede actualizar la funcionalidad de las descargas de los dispositivos infectados desde programas para minar criptomonedas hasta otro tipo de software, el riesgo presente en la conexión a esta red es bastante elevado«, señaló ESET.
Además, la empresa aclaró que al tumbar parte de la red a priori este malware habría quedado parcialmente deshabilitado, a excepción de a los equipos ya infectados que seguirán minando criptomonedas.
NotiVeraz