¿Para qué atacar sistemas cuando puedes usarlos para generar dinero? Esa es aparentemente la tendencia que se está imponiendo entre los hackers encargados de crear botnets. Si antes estas redes de ordenadores infectados se utilizaban sobre todo para lanzar poderosos ataques DDoS, parece que poco a poco su utilización ha sido centrándose cada vez más en el minado de criptodivisas.
Según informan desde ProofPoint, un grupo de cibercrminales puso en marcha en mayo 2017 utilizando EternalBlue una botnet llamada Smominru, la cual infectó a 526.000 servidores Windows y consiguió minar 8.900 Moneros, que al cambio serían entre 2,8 millones y 3,6 millones de dólares estadounidenses. A pesar de que se han hecho esfuerzos por tumbarla, los cibercriminales han conseguido mantener la botnet operativa para seguir minado y posiblemente también para lanzar ataques DDoS cuando lo vean oportuno.
El insistir en infectar servidores tiene sentido si tenemos en cuenta dos aspectos. Primero, su mayor capacidad de procesamiento frente a los ordenadores de escritorio más comunes. Segundo, que suelen estar encendidos todo el tiempo, mientras que muchos equipos utilizados por los usuarios finales son apagados con frecuencia, por lo que solo pueden ser usados para minar durante tiempos limitados.
Por otro lado y como ya hemos comentado en una ocasión anterior, muchas organizaciones podrían no ser conscientes de que sus servidores estarían siendo usados para minar criptomonedas, ya que este proceso no daña los ordenadores y ni lo pretende, así que solo notarán una pérdida de rendimiento al menos que el minero haga un uso tan alto de los recursos que termine tumbando los servicios. En caso de notar una pérdida de rendimiento en los servidores que no tiene explicación, posiblemente se trate de casos de infecciones por mineros y no otro tipo de incidencia técnica. En lo que se refiere a los países, Rusia, India y Taiwán acaparan más de la mitad de las máquinas que forman parte de la botnet Smominru.
Recordamos que EternalBlue es un exploit de la NSA que fue implementado en WannaCry y se aprovecha de una vulnerabilidad de Windows que fue parcheada hace un año, por lo que el éxito de Smominru se debe sobre todo a una gran cantidad de sistemas que están mal mantenidos. ProofPoint recomienda una política de aplicación de parches diligente para evitar que más máquinas Windows terminen formando parte de esta botnet.