El ransomware WannaCry ha sido una apuesta agresiva por recaudar dinero rápido. Los hackers responsables del ataque han conseguido hasta la fecha US$ 82,500 en bitcoins al cambio actual, y esta cifra sigue aumentando ante la desesperación de muchas empresas de no poder acceder a sus datos. No obstante, cuando se compara con el número de ordenadores afectados, que asciende a 300,000, la recaudación de dinero se ha quedado corta. Claramente, el modelo de ransomware inspira desconfianza a cualquiera por su modus operandis.
Keith Collins de Quartz, explica muy bien el poco éxito que esta teniendo WannaCry a pesar de su devastadores efectos:
Lo que yo entiendo es que otros ataques de ransomware del pasado han generado nuevas direcciones de bitcoin de forma dinámica para cada ordenador infectado, lo que les permitía automatizar el proceso de distribuir las claves de descifrado a las víctimas cuando pagaban el rescate. A pesar de lo amplia y rápidamente que el malware se ha extendido, y la cantidad de daños y caos que causó, varios de sus aspectos parecen haber sido ejecutados de forma muy pobre. Infectó casi 300.000 sistemas, y aparentemente requería algún proceso manual para que las víctimas consiguiesen sus claves de cifrado una vez habían pagado. Necesitarías un ejército de personas para gestionar ese número de peticiones si a un ser humano se le pidiese hacerlo. Esto acaba con cualquier esperanza que pudiera tener un usuario de que si pagaba podría recuperar sus archivos. Esa es una de varias razones que se pueden atribuir para justificar la recolección de “sólo” 80.000 dólares.
Así pues, mientras algunos optaron por el modelo de ransomware, otro grupo de hackers esta haciendo dinero sin mucha bomba y platillo. Se trata de los hackers detrás del malware conocido como Adylkuzz. Este malware es en realidad un software minero de criptomonedas, Monero para ser específicos.
Al igual que WannaCry, el malware Adylkuzz se ha diseminado rápidamente utilizando el exploit ‘Eternal Blue/Double Pulsar’ que como ya sabemos formaba parte del arsenal de la NSA para realizar campañas de ciberespionaje en ordenadores con Windows. Pero Adylkuzz es distinto de WannaCry por que en primera instancia, no busca comprometer al usuario directamente encriptando sus archivos. Su único propósito es el de aprovechar los recursos del ordenador del usuarios para minar la criptomoneda Monero, que al cambio actual anda por los US$ 30 aproximadamente.
Adylkuzz se instala en el sistema y pasa casi desapercibido, excepto por que el usuario observará un incremento en el uso de la CPU y de la GPU, necesarias para la ejecución del módulo de minería. Adylkuzz se conecta a una botnet desde la cual recibe instrucciones y a la vez envía los bloques minados de Monero, que para un ordenador común podrán ser insignificantes, pero tomando en cuenta que son miles de ordenadores los infectados, las cifras se convierten en varios miles de dólares.
ProofPoint le ha seguido el rastro a las transacciones que se realizan en Monero y ha dado con algunas carteras que han recibido US$ 7,000, US$ 14,000 y hasta US$22,000. Todo el proceso ha pasado sigilosamente en tanto que los investigadores en seguridad tienen su atención puesta en WannaCry y el desarrollo de una herramienta para romper la encriptación.
Este modelo de crear botnets para minar criptomonedas es uno del que se viene hablando desde hace un tiempo, y que representa una verdadera amenaza a la hora de contrarrestar por parte de los investigadores en seguridad, porque en principio el usuario común no tiene un impacto rápidamente visible. Es de hacer notar eso sí, que según las estimaciones, a las empresas esto les podría significar un costo energético adicional anual de entre US$ 1,000 a US$ 2,000 por servidor, y al usuario común el impacto más significativo podría ser una baja en el rendimiento de su sistema.
De momento, los expertos en seguridad recomiendan actualizar Windows con los parches que se han liberado para eliminar el exploit Eternal Blue. También recomiendan actualizar sus herramientas de seguridad, y en el caso de Windows complementar siempre el antivirus con una herramienta Anti-Malware.