VictoryGate: el posible final de una botnet

Las redes como VictoryGate, aunque menos populares que otras dedicadas a realizar ataques y a robar datos, también proliferan en la red de Redes, y también tienen un impacto muy directo en los usuarios afectados. Me estoy refiriendo a las botnets que emplean todos los sistemas infectados para minar ciberdivisas, remitiendo luego los resultados de sus operaciones al operador de la red, generalmente a través de un servidor C&C, aunque también las hay de tipo distribuido.

Y la buena noticia de hoy es que, tras detectarla e investigarla, la compañía de seguridad ESET ha participado de manera muy activa en la caída de VictoryGate, una botnet que operaba desde hace aproximadamente un año (mayo de 2019), y que centraba sus actividades en la minería de Monero. Hablamos de una cibermoneda de popularidad creciente (algunos sitios especializados ya la sitúan entre las diez más populares) y que, desde su mismo desarrollo, pone el foco de manera muy acusada en la privacidad de los usuarios, con múltiples sistemas para garantizar el anonimato de las personas que la emplean.

Con respecto a la red ya abatida, su difusión se llevó a cabo principalmente en latinoamérica y, de manera especial, en Perú, donde se encuentran el 90% de las víctimas. Y aunque en principio pueda resultar un tanto llamativa tal concentración geográfica, todo encaja bastante mejor al conocer otro de los datos facilitados por ESET: el único vector de difusión que se ha podido detectar durante la investigación son memorias USB.

Así, la principal (aunque no única, claro) teoría es que estemos hablando de un lote contaminado de dispositivos de almacenamiento USB que se distribuyeron en Perú. Lo que no es más complejo es cuantificar su volumen inicial, puesto que VictoryGate también contiene un componente que copia el patógenos a los nuevos dispositivos USB conectados al sistema previamente infectado.

Así, solo una pequeña cantidad de memorias distribuidas estratégicamente, por ejemplo en negocios en los que los usuarios conectan sus propios dispositivos de memoria, podrían infectar rápidamente un gran volumen de memorias y sistemas. O aún más, bastaría que el patógeno primigenio estuviera, por ejemplo, en una copistería local, a la que los clientes llevan aquello que desean imprimir en memorias USB. Es una posibilidad a tener en cuenta, y que nos hace pensar en que debemos prestar más atención a los sistemas en los que empleamos nuestros medios extraíbles.

Una vez detectada la red, y ante la dificultad de dar con su operador, que se ocultaba tras un servicio de DNS dinámico, se optó por redirigir todas las peticiones del mismo a otro servidor estableciendo un sumidero de DNS (DNS Sinkhole). De esta manera, los investigadores fueron capaces de identificar una gran parte de los sistemas que formaban parte de la botnet. El objetivo actual, además de seguir investigando el patógeno, es informar a los usuarios afectados y colaborar en la desinfección de sus equipos.

Según los datos obtenidos del sumidero de DNS, entre 2.000 y 3.500 ordenadores siguen, a día de hoy, haciendo ping al servidor C&C de VictoryGate para obtener nuevos comandos a diario. Afortunadamente, poco pueden hacer los ciberdelincuentes una vez establecido el DNS Sinkhole, (salvo, en todo caso, abatirlo de alguna manera). Por lo tanto, aún con sistemas todavía infectados e intentando cumplir con su payload, podemos considerar que esta botnet ya no volverá a ser un problema para ningún usuario.

Aunque no suponen un compromiso para la seguridad de los usuarios afectados, las botnets de minería de cibermonedas sí que tienen un impacto muy severo en el rendimiento de los sistemas con el patógeno. Y es que se han detectado casos en los que hasta el 95% de los recursos del sistema eran empleados de manera constante por el software minero. Además, el problema de redes como VictoryGate es que hoy son empleados para ese fin, pero en cualquier momento pueden recibir un nuevo payload que cambie sus funciones, con el fin de robar datos, participar en ataques DDos, etcétera.

La entrada VictoryGate: el posible final de una botnet es original de MuySeguridad. Seguridad informática.