Monero es actualmente una de las criptomonedas favoritas entre los piratas informáticos puesto que permite hacer transacciones de una forma aún más anónima que Bitcoin. Los malware más usados para minar esta criptomoneda son CoinHive, Rig EK, Cryptoloot, Roughted, Fireball, Globeimposter, Ramnit, Virut, Conficker y Rocks. Sin embargo, hay un malware recientemente detectado que quiere hacerles la competencia: Smominru.
También conocido como Ismo, este malware de minería de Monero utiliza un exploit de la Agencia de Seguridad Nacional (NSA) llamado EternalBlue, que fue filtrado el pasado mes de abril por el grupo de hackers Shadow Brokers, también responsable de desencadenar el ransomware WannaCry. Asimismo, los piratas informáticos han estado usando un exploit filtrado de la NSA llamado EsteemAudit.
Es oficial: EEUU acusa formalmente a Corea del Norte por WannaCry
Más de 526.000 ordenadores Windows han sido infectados por el malware Smominru desde mayo de 2017, de acuerdo con la firma de ciberseguridad Proofpoint. Sus investigadores han estado monitoreando desde entonces el botnet masivo a nivel mundial con el que sus operadores se han embolsado millones a costa del poder de cómputo de otros:
Como Bitcoin se ha convertido en un recurso prohibitivo para minar fuera de las granjas dedicadas a la minería, el interés en Monero se ha incrementado dramáticamente. Mientras que Monero ya no se puede minar eficazmente en ordenadores de escritorio, un botnet distribuido como el aquí descrito puede resultar bastante lucrativo para sus operadores.
Desde que la firma de seguridad le ha seguido el rastro a Smominru, el malware ha minado unos 8.900 tokens de Monero (XMR), en promedio unos 24 tokens al día, valorados en hasta 3.6 millones. Hasta el momento de esta publicación, Monero se cotiza en 245,46 dólares, según CoinMarketCap.
El mayor número de PCs que han sido infectadas con Smominru se encuentran en Rusia, India y Taiwán, indicaron los investigadores. En cuanto a la infraestructura de comando y control, el botnet está alojado en el servidor de la empresade servicios de protección DDoS SharkTech, la cual ya ha sido notificada al respecto. La distribución geográfica de los nodos del malware se puede apreciar en la imagen a continuación:
"Los operadores de este botnet son persistentes, usan todo tipo de exploits disponibles para expandir su botnet, y han encontrado múltiples formas de recuperarse después de operaciones que acabaron hundidas", concluyen los investigadores, y añaden:
Dadas las importantes ganancias disponibles para los operadores del botnet y la capacidad de resistencia de botnet y su infraestructura, esperamos que estas actividades continúen, junto con sus posibles impactos en los nodos infectados.
Similar a Smominru, WannaMine es otro malware que también está basado en el exploit de la NSA EternalBlue para infectar redes de ordenadores con el objetivo de minar Monero, como ha dado a conocer por su parte la firma de ciberseguridad CrowdStrike. No obstante, dado que no descarga ninguna aplicación a un ordenador infectado, es más difícil de detectar por los programas antivirus. Los investigadores de CrowdStrike observaron que el malware ha generado que algunas empresas no puedan operar durante días y semanas a la vez.
De momento, CoinHive sigue siendo el malware más usado para minar Monero debido a que puede ser colocado en sitios web para usar el poder de cómputo de quieres los están navegando en tiempo real sin que se den cuenta. No obstante, habrá que seguirle la pista a Smominru si consideramos que sus autores son los mismo responsables de WannaCry.
¿Qué es CoinHive, el malware más usado para minar criptomonedas?