Así se convierte un equipo en una máquina zombi para minar criptomonedas
WSL Branded Content
Con las criptomonedas envalores máximos históricos, la rentabilidad de minar estas monedas ha subido como la espuma.No es extraño que los ciberdelicuentes tengan más trabajo que nuncay hayan estado muy ocupados tendiendo sus redes para aprovechar vulnerabilidades o descuidos de los usuarios, y hacer que susordenadores formen parte de una red de equipos zombis dedicados a minar criptomonedas.
Se habla de equipos zombis porque se emplearán dentro de una red inmensa de ordenadores para ejecutar acciones sin el consentimiento del usuario. Aquí está la clave del comportamiento de este tipo de malware:el propietario del ordenador no se debe percatar de que su equipo está siendo utilizado para minarcriptomonedas. No se suele tratar de un virus o un programa malicioso que dañe el equipo, pero sin embargo sí afecta de forma importante a su rendimiento. Por eso es conveniente contar conuna solución de seguridad como las que ofrece Norton.
Del 16 de marzo al 6 de abril, consigue la solución integral Norton 360 Deluxe por 24,99€. Instalación hasta 5 PC, Mac, smartphones y tablets. Protección contra virus y malware, firewall, gestor de contraseñas, 50 GB para copias de seguridad en la Nube, Secure VPN, control parental y SafeCam.
¿Qué es una red zombi de ordenadores?
Lo primero que tenemos que tener claro es se trata de una serie de equipos informáticos que estánubicados en diferentes ciudades y países y que son controlados por un tercero, el ciberatacante, con un propósito concreto.
En España todavía son muchos los que recuerdanla red ‘Mariposa’, desarticulada en 2010 y quecontrolaba más de 13 millones de ordenadores en todo el mundo.Tres españoles estaban detrás ella, y fueron acusados de robar datos personales y bancarios de cientos de miles de personas e infectar los equipos de más de 500 grandes empresas.
Para lograr este tipo de infraestructura, es necesaria la ejecución de un programa con privilegios de administrador, que será el que abra paso a la red ypermita la instalación de un software que será, en este caso,el encargado de ejecutar el minado. El objetivo de este tipo de malware es permanecer en los equipos informáticos el mayor tiempo posible, sin que sean detectados ni eliminados. Esto les hace especialmente peligrosos.
Para poder minar, se necesitan equipos potentes y un consumo de energía muy elevado. Por eso, para los ciberatacantes, asaltar e introducir miles de equipos de usuarios en una red zombi sale muy rentable
El fin está claro: tenermuchos ordenadores conectados para aprovechar su potencia de cálculo en el minado de criptomonedas. El minado no es otra cosa que un complejo cálculo y conjunto de procesos que ejecutan los ordenadorespara validar y procesar las transacciones de una criptomoneda. Hay que registrar y validar las transacciones en la cadena de bloques (blockchain),teniendo en cuenta múltiples variables, como búsqueda del bloque, un número aleatorio o la aplicación de la función criptográfica y unhashque cumpla determinadas características.
Para poder hacer todo esto,son necesarios equipos especializadoscon componentes específicosy, además, un consumo de energía muy elevado. Por eso, para los ciberatacantes, asaltar y lograr introducir miles de equipos de usuarios ensu red zombi, de modo que puedan utilizar sus procesadores y ejecutar los procesos que implica el minado, sale muy rentable. Seconsigue una gran potencia de cálculo a coste prácticamente cero.
¿Qué pasa con el ordenador afectado?
Los equiposmás atractivos para los ciberatacantes son aquellos que tienen componentes de alta gamay mayor capacidad de cálculo gráfico. Los ordenadores gamers serían los mejores, pero en una red de este tipo el objetivo es tener el mayor número posible de equipos trabajando de forma conjunta y el mayor número de horas al día conectados. Por lo tanto, equipos de oficina y aquellos que están siempre encendidos, como los servidores o aquellos que dejamosconectados para teletrabajar, son susceptibles también de formar parte de este tipo de infraestructuras.
Si en el pasado las redes zombis se utilizaban para robar datos o distribuir spam desde diferentes cuentas de correo, ahora es más rentable emplearlas para minar criptomonedas. Pero tiene un inconveniente para el usuario: a pesar de que el equipo seguirá funcionando como siempre, sí quese verá afectado de forma notable su rendimiento.
Aunque lo único que buscan es aprovechar la potencia de cálculo de nuestros ordenadores, la realidad es que, una vez que tienen el control del equipo, nada les impide robar nuestros datos financieros
Una vez que ha entrado el criptominer y se pone a trabajar, intentará pasar desapercibido. Empezará a verificar en qué momentos se utiliza más el ordenador y en qué momentos estará encendido pero en reposo. Será entonces cuando se active, para aprovechar los instantes en los que no se emplea y ejecutar sus procesos de minado. Lo que ocurre es que no es exacto y no siempre coincide con estos periodos de inactividad.
¿Cómo son realmente de peligrosos estos programas de minado? En principio, lo único que buscan es aprovechar la potencia de cálculo de nuestros ordenadores, no la información que contienen. Pero la realidad es que,una vez que tienen el control del equipo, nada les impide robar nuestros datos financieros, instalar otros programas maliciosos para robar credenciales de acceso o cifrar todos nuestros archivos para pedir un rescate. La puerta ya la tienen abierta y además tienen la llave.
Del 16 de marzo al 6 de abril, consigue la solución integral Norton 360 Deluxe por 24,99€. Instalación hasta 5 PC, Mac, smartphones y tablets. Protección contra virus y malware, firewall, gestor de contraseñas, 50 GB para copias de seguridad en la Nube, Secure VPN, control parental y SafeCam.
¿Cómo podemos eliminar un criptominer?
Una vez que hemos detectado que algo va mal con nuestro equipo y vemos quetenemos un criptominer, el paso lógico es eliminarlo. Y no es algo fácil. Se ha instalado el programa con privilegios de administrador que le hemos concedido, en la mayoría de los casos sin ser conscientes de ello.
El primer paso seríaactualizar nuestro antivirus y realizar un análisis completo y exhaustivo del sistema. Aquí debería saltarnos el aviso de software malicioso para llevarlo a cuarentena o eliminarlo.
Pero a veces este programa, gracias a sus privilegios de administrador, ha modificado laconfiguración del propio antivirus, incluyéndose en las exclusiones o haciendo que no se pueda eliminar dicho archivo. En este caso existen varias soluciones. Podemos empezar identificandodónde se encuentra el programa ubicado, para eliminarlo manualmente. Mejor si para ello arrancamos en modo seguro nuestro ordenador y desconectado de la red.
En los casos más graves, restaurar el ordenador a valores de fábrica y recuperar los datos de una copia de seguridad que hayamos hecho con nuestro antivirus es lo más fiable
La cuestión es que, además de ejecutar el programa de minado, en muchas ocasiones este tipo de malwareabre una puerta trasera para volver a instalarloen caso de que se elimine. Así que nos podemos encontrar que a los pocos días vuelve a aparecer. No está de máscrear un usuario que no tenga privilegios de administrador y empezar a trabajar con él, además de cambiar la contraseña del usuario principal que sí tenía dichos privilegios. Aun así, es posible que no consigamos frenar su entrada.
En los casos más graves,restaurar el ordenador a valores de fábrica y recuperar los datos de una copia de seguridadque hayamos hecho con nuestro antivirus es lo más fiable. Es un proceso más largo, pero nos aseguramos de acabar con el problema de una forma definitiva. Tras realizar este proceso, es recomendable trabajar con un usuario que no tenga privilegios de administrador, de modo que aunque el programa vuelva a intentar instalarse, no tendrá permisos para ello y nos requerirá esta elevación de privilegios.
¿Podemos protegernos de este tipo de ataques?
El primer paso para protegernos contra este tipo de ataques es tener un programa antivirus fiable, potente y actualizado, comoNorton AntiVirus Plus,Norton 360 Standard,Norton 360 PremiumoNorton 360 Deluxe. En la página webNorton.compodemos conocer todas las especificaciones completas de cada producto.
Lo mismo hay que pedirle al sistema operativo. Este es un tipo de malware que afecta tanto a equipos con Windows, como a plataformas Mac, Linux o Android. Por lo tanto, es interesante tenersiempre actualizados nuestros sistemaspara que se hayan aplicadolos últimos parches de seguridad. En la mayoría de las ocasiones, las vulnerabilidades que se intentan frenar con su lanzamiento son la puerta de entrada para este tipo de programas maliciosos.
Es fundamentaltrabajar con fuentes de software fiables, preferiblemente de la tienda oficial, de Apple, Microsoft o Ubuntu, por ejemplo. Pero tambiénevitar programas pirata, que con el uso de generadores de claves, decrackso similares, además de facilitar el uso del programa que queremos poner en marcha, pueden abrir la puerta a este tipo de malware.
Del 16 de marzo al 6 de abril, consigue la solución integral Norton 360 Deluxe por 24,99€. Instalación hasta 5 PC, Mac, smartphones y tablets. Protección contra virus y malware, firewall, gestor de contraseñas, 50 GB para copias de seguridad en la Nube, Secure VPN, control parental y SafeCam.
También hay que tenercuidado con la entrada de información a nuestros equipos, ya sea a través de medios extraíbles como una memoria USB, a través de una página web que estamos visitando y nos descarga o instala un programa sin nuestro consentimiento, o con un correo que nos engaña para que confiemos en su contenido y descarguemos e instalemos ese archivo adjunto que contiene.
Un último aspecto a tener en cuenta es la necesidad derealizar copias de seguridadde forma periódica y en la nube o un dispositivo externo, a ser posible que no siempre esté conectado a nuestro ordenador. De esta forma si nos vemos en el peor de los casos y tenemos que reinstalar el ordenador no habremos perdido información, si acaso un poco de tiempo en completar todo el proceso.
Imágenes |Pixabay/ iStock/sarayut/gorodenkoff
