Una nueva botnet que afecta a ordenadores ha afectado más de medio millón de Windows. Esto es, un software capaz de usar la potencia de ordenadores ‘zombis’ (que obedecen órdenes) para minar criptomonedas. En este caso, no se trata de Bitcoin, ni Ethereum, ni Litecoin ni de ninguna de esas, sino de Monero (XMR).

Monero es la más anónima y se puede minar desde una simple CPU; no es necesario tener un chip tan específico como el que hace falta en Bitcoin, por ejemplo, por lo que cualquier ordenador, por muy poco potente que sea, servirá para ello (y más si no tienes que pagar ni el equipo, ni la red, ni nada de nada, pues usas ordenadores de otras personas).

Es, en efecto, la misma criptomoneda que se mina en esas webs y aplicaciones que se aprovechan de tu CPU para minar criptomonedas (algunas a escondidas, otras te avisan y te piden permiso).

Una nueva botnet basada en los exploits de la NSA

La botnet utilizada para minar ya es gestionada por Smominru, el software empleado para dirigir estos 526 000 ordenadores infectados. Este software se basa en EternalBlue, uno de los exploits de Windows que almacenaba la NSA en sus servidores y que habrían usado en varias ocasiones para espiar ordenadores tanto personales como institucionales, y que fue filtrado por el grupo de hackers Shadow Brokers.

mineria de criptomonedas en la nube cloud mining

EternalBlue es, también, uno de los exploits usados para crear WannaCry, el virus que se distribuyó como la pólvora a través de todo el mundo, y que dejó incluso inoperativos a varios hospitales.

La red de ordenadores zombies comenzó a operar en mayo del año pasado, pocos meses más tarde de hacerse publicado el exploit (esto ocurrió en abril, justo un mes antes). Desde entonces, proofpoint, un firma de seguridad, ha estado monitoreando esta botnet.

Según esta misma firma de seguridad, esta botnet ha generado del orden de 24 tokens (monedas) de XMR al día, lo que supone un total actual de 8900 monedas de Monero. Esto se traduce, más o menos, en unos 4 millones de euros (unos 5 millones de dólares), aunque, con la valoración actual de Monero (que ha ido cayendo desde hace ya un mes), equivale ahora mismo a tan solo 1,5 millones de euros (está cayendo tan rápido, que ayer equivaldría a 2 millones de euros).

distribucion botnet smominru

Donde mayor presencia ha tenido la botnet ha sido en Rusia, India y Taiwán. La infraestructura necesaria para desplegar el software, al mismo tiempo, estaba alojada en SharkTech, una empresa de servicios de protección de ataques DDoS (ataques de denegación de servicio).

Qué es una botnet

Botnet se traduce al español directamente como red de robots. También se conoce como red zombie. Es, básicamente, un conjunto de ordenadores o dispositivos infectados (puede ser incluso una bombilla conectada a Internet) que obedecen órdenes de la persona que la controla. Son como un virus más, pero en vez de fastidiarte robando datos (como contraseñas) o cifrando archivos (como los de tipo ransomware), lo que hace es aprovechar la potencia de tu ordenador para hacer algo (generalmente negativo).

botnet red zombie

Las botnets más conocidas se usan, por ejemplo, para realizar ataques DDoS a webs o servicios online. Estos ataques de denegación de servicio consisten básicamente en tumbar un servidor haciendo que cientos de miles de dispositivos soliciten información a un servidor, de modo que este se colapsa y deja de funcionar.

Ataques de este tipo hay muchos y ha habido algunos muy importantes. Por ejemplo, con una simple botnet de bombillas inteligentes, un grupo de hackers fue capaz de tumbar Twitter, Spotify e incluso WhatsApp.