Cybersecurity-onderzoekers van ESET onthulden dat ze een deel van een malware-botnet hebben verwijderd die ten minste 35.000 Windows-systemen heeft geïnfecteerd. De malware werd door de aanvallers in het geheim gebruikt om de cryptocurrency Monero (XMR) te minen.
De botnet, genaamd VictoryGate, was sinds mei vorig jaar actief. De getroffen systemen waren voornamelijk in Latijns-Amerika. De onderzoekers zeiden het volgende:
“Onder de slachtoffers vallen organisaties in zowel de publieke als de private sector, waaronder financiële instellingen.”
ESET liet verder weten dat het samenwerkte met dynamische DNS-provider No-IP om de kwaadaardige command-and-control (C2) -servers te verwijderen. In februari en maart van dit jaar waren er dagelijks tussen de 2.000 en 3.500 geïnfecteerde computers op C2-servers aangesloten.
Volgens de onderzoekers verspreidt de botnet zich via verwijderbare apparaten, zoals USB-drives, die een kwaadaardige payload in het systeem van het slachtoffer installeren.
De onderzoekers zeiden dat de ontwikkelaars, met een gemiddelde hash snelheid van 150H/s, minstens 80 Monero (ongeveer $6000) hebben verzameld van dit botnet.
Ze zeiden het volgende:
“Aan de hand van de gegevens die we verzamelen tijdens onze sinkholing-activiteiten, kunnen we vaststellen dat er de hele dag door gemiddeld 2.000 apparaten minen.”
Omdat de USB-drives worden gebruikt, waarschuwden onderzoekers ook voor nieuwe infecties die zich in de toekomst zouden kunnen voordoen.