Un botnet peligroso llamado H2Miner ha resurgido. Secuestra computadoras para minar Monero (XMR) en secreto y, en algunos casos, despliega ransomware.
Investigadores de ciberseguridad dicen que el malware se ha expandido desde que apareció por primera vez en 2019. La nueva versión ahora apunta a servidores Linux, escritorios Windows y contenedores en la nube.
Un virus silencioso podría usar tu computadora
Según la firma de ciberseguridad Fortinet, los atacantes obtienen acceso explotando vulnerabilidades de software conocidas. Estas incluyen Log4Shell y Apache ActiveMQ, que muchos sistemas aún utilizan. Una vez dentro, el virus instala una herramienta llamada XMRig, un minero de código abierto legítimo.
SponsoredPero en lugar de pedir permiso, se ejecuta en segundo plano, utilizando el poder de procesamiento de tu computadora para ganar Monero para los hackers. Además, H2Miner utiliza scripts inteligentes para desactivar herramientas antivirus. También elimina otros mineros que ya puedan estar ejecutándose en el sistema.
Luego, borra cualquier rastro de sus acciones. En Linux, instala un trabajo cron que vuelve a descargar el malware cada 10 minutos. En Windows, configura una tarea que se ejecuta silenciosamente cada 15 minutos.
Un giro de ransomware añade más daño
El virus no se detiene en la minería de criptomonedas. Una nueva carga, llamada Lcrypt0rx, también puede bloquear tu computadora. Utiliza un método simple pero destructivo para sobrescribir el Registro de Arranque Maestro, una parte clave de tu computadora que controla el inicio. Esto puede impedir que el sistema arranque correctamente.
El ransomware también agrega configuraciones de sistema falsas para ocultarse y crear persistencia. La campaña aprovecha servidores en la nube baratos y servicios mal configurados.
Una vez que una máquina está infectada, el malware escanea otros sistemas para infectar, especialmente contenedores Docker y plataformas en la nube como Alibaba Cloud. También se propaga a través de unidades USB y recorre los procesos antivirus, eliminándolos uno por uno.
Los expertos en seguridad advierten que eliminar H2Miner requiere una limpieza profunda. Debes eliminar todos los trabajos cron relacionados, tareas programadas y entradas de registro. Si incluso un script oculto sobrevive, el botnet puede reinstalarse y reanudar la minería de Monero en secreto.
Lo que los traders y ssuarios de criptomonedas
Este ataque no está dirigido directamente a monederos de criptomonedas. En cambio, roba poder de cómputo para generar nuevas monedas Monero para los hackers. El riesgo es especialmente alto para nodos autogestionados, mineros en la nube y servicios VPS no gestionados.
Si tu sistema se calienta o se ralentiza inesperadamente, podrías querer verificar procesos inusuales como sysupdate.exe o conexiones salientes recurrentes. Las características de privacidad de Monero lo hacen atractivo para los hackers. Pero para los usuarios, el riesgo real es perder el control de tus dispositivos y, sin saberlo, financiar el crimen cripto.
