Llegamos a ustedes gracias a:



Noticias

ESET ofrece información sobre VictoryGate

[24/04/2020] Desde fines del año pasado se descubrió en el país la existencia de una botnet que tenía una particularidad muy llamativa: se enfocaba casi completamente en el Perú. VictoryGate -ese fue el nombre que ESET Labs le puso- se dedicaba a hacer minería de criptomonedas infectando máquinas en el Perú para usarlas como trabajadoras zombis.

El pasado martes ESET realizó una conferencia de prensa (virtual) en la que ofrecía la información sobre cómo operaba esta botnet y cómo se realizó la investigación para derribarla. En la presentación virtual estuvieron presentes Jorge Zeballos, gerente general de ESET Perú; Camilo Gutierrez, head of Awareness & Research LATAM, y Alan Warburton, security intelligence analyst de ESET, quienes presentaron y explicaron la investigación.

La criptominería

Como forma de introducción al tema, Zeballos recordó a los (virtualmente) presentes que la seguridad es una de esas áreas que no debe quedar desprotegidas a pesar de que la situación general se vuelque hacia otros campos, como el trabajo remoto o el uso de la nube.

Y precisamente las investigaciones sobre seguridad de ESET le llevaron a finales del año pasado a descubrir una botnet que había estado utilizando una red que se estima en unas 35 mil máquinas para realizar minería de criptomonedas. La botnet, en realidad, es la continuación de otras amenazas que habían estado circulando en el mercado peruano -y en América Latina, en general- desde el 2016, y que tienen por característica el haber sido generadas a partir del lenguaje AutoIt.

La primera de esas amenazas generadas a partir de AutoIt fue Houdrat, en el 2016. Un malware RAT -es decir, que toma el control remoto de un equipo- que se diseminó por Perú, pero también por Chile, Ecuador, Colombia e incluso México. Este malware se enfocaba en la minería de criptomonedas y fue dado de baja a mediados del 2019 cuando la gendarmería de Francia dio de baja a los servidores que se encontraban en ese país.

Al seguir investigando las amenazas generadas con el lenguaje AutoIt fue que se encontró a VictoryGate, una amenaza activa desde mayo del año pasado.

Este malware había generado una botnet que se enfocada principalmente en el Perú. De hecho, el 96% de las máquinas detectadas se encuentran en el país, una característica que los analistas de ESET investigan, pero de la cual hasta ahora no se tiene una certeza. Se podría pensar que la alta incidencia se podría deber a que sea un malware nativo, es decir, peruano; sin embargo, no existe evidencia contundente para aseverar esta hipótesis.

Otra posible explicación de la alta incidencia peruana del malware es su forma de contagio: por USB. Efectivamente, el aún elevado uso de memorias USB en el mercado peruano podría explicar porque la preeminencia de este malware en nuestro país. Pero, nuevamente, es solo una teoría.

Lo que sí es seguro es que su forma de contagio es muy elaborada. VictoryGate no solo introduce el malware a través de una memoria USB sino que también sabe ocultarlo muy bien. Al analizar la memoria se podrá encontrar archivos ejecutables con el mismo nombre que los archivos no infectados, pero manteniendo los archivos no infectados, de tal forma que, si un usuario quiere revisar, por ejemplo, un archivo de Word, éste se ejecutará sin problemas ya que se mantiene en la memoria, es decir, el archivo infectado no lo reemplaza.

Es más, los analistas explicaron que una vez en la computadora. el usuario podría sospechar de la presencia del malware debido a que su accionar hace más lenta la máquina, pero al revisar el Administrador de tareas el malware deja de funcionar para no aparecer como un proceso que está consumiendo muchos recursos del procesador.

Dicho sea de paso, este malware hace minería de Monero, una criptomoneda que, precisamente, no requiere de procesadores especiales para ser minada, se puede hacer con los procesadores normales de una laptop común y corriente.

Cómo se descubrió

Los analistas descubrieron que este malware siempre intentaba ponerse en contacto con un grupo de dominios registrados cuyos servidores se encontraban en Malasia -aunque esto no quiere decir que el malware sea de ese país-, pero también intentaba contactar con otro grupo de servidores no registrados. Los analistas estiman que el creador buscaba con esta acción tener servidores de respaldo en caso las autoridades descubrieran y anularan al primer grupo.

Ese hallazgo fue fundamental.

Los analistas se infiltraron en este segundo grupo de servidores y comenzaron a recibir los mensajes que el malware enviaba desde las máquinas infectadas. De esa manera fue que descubrieron que son aproximadamente 35 mil los equipos que han sido incorporados a esta botnet. Además, al analizar las muestras se pudieron detectar 28 subdominios.

¿A quiénes afectaba el malware? Aunque la propagación se realizaba mediante memorias USB la amenaza solo afectaba a las PC, más específicamente a máquinas con Windows que utilicen los sistemas NTFS y FAT32.

¿Cómo saber si su máquina se encuentra afectada? Puede usar ESET Online Scanner, que se encuentra en línea, de forma gratuita para determinar si su máquina se encuentra afectada y para eliminar la amenaza.