Desde la creación de las criptomonedas ha surgido malware que busca aprovechar la capacidad de procesamiento de un ordenador u otro dispositivo para minarlas. Así, durante el tiempo que esté sin descubrirse, el atacante podrá ganar cientos o miles de euros sin hacer nada mientras otro paga la factura de la luz. El último ataque ha afectado a 415.000 routers en todo el mundo.
Cientos de miles de routers de MikroTik siguen sin parchearse meses después de haberse publicado la solución
Este ataque, que todavía está operativo, afecta sobre todo a los routers de la empresa MikroTik. La compañía se ha visto afectada recientemente por diversos ataques que han infectado a al menos 200.000 de sus routers. El código de la vulnerabilidad es CVE-2018-14847.
Inicialmente, la mayoría de routers afectados se encontraban en Brasil, pero se ha ido extendiendo por el mundo. De hecho, como podemos ver en el siguiente mapa, la vulnerabilidad está afectando a dispositivos que se encuentran presentes en España; y eso que ese mapa sólo muestra 500 dispositivos infectados de una de las tres maneras posibles de infectar los routers para minar criptomonedas.
Los scripts de minado de criptomonedas empezaron a popularizarse en 2017 después de que se desarrollase CoinHive. Añadirlo a una web era realmente sencillo, y aprovechaban la potencia del procesador para minar Monero durante el tiempo que el usuario estuviera visitando la página web.
Los scripts para minar criptomonedas siguen causando problemas en todo el mundo
Desde su creación, han surgido otros que están ganando popularidad y que se usan cada vez en más malware, como Omine o CoinImp. Mientras que CoinHive estaba presente en el 80-90% de los casos, últimamente Omine está ganando más popularidad. El objetivo que tienen es común: minar Monero, que es la que mejor se mina con procesadores.
Los usuarios afectados por esta vulnerabilidad deben descargar la última versión del firmware para el router, disponible en la página web oficial de la compañía. Además, instan a los operadores a que lancen las actualizaciones vía OTA para que se actualicen automáticamente y protejan los dispositivos sin que los usuarios tengan que hacer nada, ya que muchos de ellos no tienen ni idea de cómo se actualiza el firmware del router.
El parche para solucionar esta vulnerabilidad lleva disponible meses, y hay operadores que tenían miles de infecciones que han dejado de aparecer en los listados de infecciones. Sin embargo, hay otros tantos que no están aplicando las soluciones, y dejando vulnerables a sus clientes. El firmware más reciente de RouterOS se puede encontrar la web oficial de la compañía.