Un reporte de investigación emitido por la compañía de seguridad ESET detectó que un software malicioso logró infectar cientos de servidores web de Windows para minar la blockchain de Monero, con lo que sus creadores lograron recaudar el equivalente a $63,000 dólares en apenas 3 meses.
Los atacantes lograron infiltrar secretamente el malware a través de una vulnerabilidad en el sistema Microsoft IIS 6.0, además, haciendo modificaciones en el código abierto del software de minería empleado para la criptomoneda Monero. Aproximadamente desde mayo de este año llevan realizando esta actividad. ESET no especifica si tiene conocimiento de la identidad de los piratas cibernéticos.
La brecha en los servidores de Windows fue denunciada en marzo de este año por Zhinian Peng y Chen Wu, desarrolladores de código que publicaron el descubrimiento de esta falla alojada en el WebDAV de l Microsoft IIS version 6.0, el cliente web del Windows Server 2003 R2.
Según especifica ESET en la publicación, una saturación de información en el buffer del ScStoragePathFromUrl, memoria donde se alojan los datos que esperan ser procesados, y que es activada por medio de una solicitud enviada desde una dirección HTTP maliciosa. De acuerdo a ESET, «Esta vulnerabilidad es especialmente susceptible de ser explotada, dado que está alojada en un servidor web, y que en la mayoría de los casos es visible desde internet…», pudiendo ser aprovechada por cualquiera.
Los hackers estarían ocupados en atacar aquellos dispositivos que no hayan puesto parches de seguridad sobre la falla del Windows Server 2003. Según datos de ESET, la vulnerabilidad comenzó a ser explotada apenas dos días después de publicarse las denuncias pertinentes. Desde el día 26 de mayo han estado realizando olas de ataques con mucha frecuencia, y según, esto implica que los atacantes revisan el internet constantemente en búsqueda de máquinas vulnerables. A su vez, señalan que este escaneo de máquinas se realiza siempre desde una sola dirección IP, que pareciera estar alojada en un servidor en la nube de Amazon rentado por el atacante.
La información consultada directamente en el grupo de minería demostró a los investigadores de ESET que la cantidad de procesamiento hash prestado por todas las víctimas ascendía a los 100 kilohashes por segundo (kH/S), mientras que a finales del mes de agosto repuntó a 160 kH/s, que atribuyen a campañas de ataque lanzadas el 23 y el 30 de agosto, respectivamente. Día por día, llegaron a recibir 5.5 XMR diarios para finales de agosto, para dar un total de más de 420 XMR en tres meses, lo que a una tasa de cambio de 150 dólares por monero, la cantidad ascendía a 825 XMR diarios, en total 63,000 dólares.
Por alguna razón, el mes más activo fue agosto, pero a principios del mes de septiembre cesaron las infecciones del malware, debido a que este no es muy resistente y pudo haber sido ya borrado de los dispositivos que fueron comprometidos. De acuerdo a las estadísticas de ESET, esto causa que para el momento de haberse publicado su estudio, las víctimas acumulaban un poder de 60 kH/s. Sin embargo, advierten que esto pudiera tomarse como un receso o descanso, previniendo que los atacantes lancen nuevas campañas de contaminación de equipos en un futuro cercano.
Para finalizar, ESET señala que desde julio de 2015 Microsoft no emitía una actualización para el Windows Server 2003, sin haber lanzado un parche para esta vulnerabilidad desde junio de 2017, aún cuando muchísimas brechas de seguridad fueron detectadas con el tiempo y llamaron la atención de piratas cibernéticos alrededor del mundo. El sistema parece estar desactualizado y llevado progresivamente a su término comercial, pero ante el surgimiento del virus WannaCry, Windows lanzó nuevas actualizaciones para evitar este tipo de ataques tan poderoso.
Aún así, ESET advierte que cada vez se hace más dificil mantener actualizado este software y que muchos de ellos siguen siendo vulnerables todavía, por lo que recomiendan instalar el parche KB3197835 de manera manual lo más pronto posible para evitar ataques cibernéticos similares al de este minero de Monero
Monero tiene una capitalización total de $1.4 mil millones de dólares y ha ido aumentando su popularidad gracias a su principal característica ofrecida a sus usuarios: anonimato y privacidad, siendo técnicamente imposible que las transacciones puedan rastrearse. Además, esta criptomoneda utiliza el algoritmo CryptoNight, de prueba de trabajo (Proof-Of-Work), que puede ser ejecutado con CPU y GPU, es decir, sin tener que recurrir a la ayuda de un equipo costoso diseñado especificamente para esta tarea.
La criptomoneda tiene cierta relación con los delitos cibernéticos gracias a que provee de anonimato y privacidad, sin embargo no es la única que ofrece privacidad, pues Zcash, su gran rival, también lo hace. Sin embargo, los motivos que impulsaron a la creación de estos nuevos instrumentos financieros tienen más que ver con la progresiva pérdida de la privacidad del individuo acelerada por la era del internet, un tema extenso y de larga data, con raíces en el movimiento cypherpunk.
Actualmente existe un vacío legal en cuanto al uso de estas criptomonedas, pero sin duda el ocultamiento de la identidad del usuario es uno de los temas que más preocupa a las autoridades gubernamentales con respecto al ecosistema de criptoactivos en general, y que muy probablemente en los años venideros buscarán como revertir, aunque el potencial disruptivo de blockchain por ser una red descentralizada y distribuida podría evitarlo.