[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/20\/xmrig\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/20\/xmrig\/","headline":"XMRig, un minero de criptomonedas al servicio de hackers","name":"XMRig, un minero de criptomonedas al servicio de hackers","description":"Todo lo que debes saber sobre el minero de criptomonedas XMRig, qu\u00e9 es, c\u00f3mo funciona y c\u00f3mo eliminarlo \u00a1Descubre m\u00e1s aqu\u00ed!","datePublished":"2021-08-20","dateModified":"2021-08-11","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/#Person","name":"Ana Gonz\u00e1lez","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/agonzar34\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/9d20ce04c893956aaa747aa424b64675?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/07\/xmrig.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2021\/07\/xmrig.jpg","height":1000,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/20\/xmrig\/","about":["CIBERSEGURIDAD"],"wordCount":2463,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } La criptomoneda est\u00e1 explotando en todo el mundo, al igual que los ataques que involucran criptomonedas. Desde bitcoin hasta Ethereum y Monero, los ciberdelincuentes est\u00e1n robando monedas a trav\u00e9s de phishing, malware y compromisos de plataformas de intercambio, lo que provoca enormes p\u00e9rdidas tanto a los consumidores como a las empresas del sector. Las violaciones de datos de alto perfil y el robo son responsables de la mayor\u00eda de las p\u00e9rdidas para las organizaciones en el sector de las criptomonedas, pero existe otra amenaza m\u00e1s insidiosa que agota las criptomonedas a un ritmo lento y constante: la miner\u00eda de criptomonedas maliciosa, tambi\u00e9n conocida como criptojacking. Hoy vamos a analizar un minero de criptomonedas llamado XMRig, qu\u00e9 es, c\u00f3mo funciona y c\u00f3mo eliminarlo.\u00bfQu\u00e9 es XMRig?\u00bfC\u00f3mo se manifiesta este malware?\u00bfQu\u00e9 s\u00edntomas provoca en el equipo?\u00bfPor qu\u00e9 este minero de criptomonedas es tan atractivo para los ciberdelincuentes?\u00bfPor qu\u00e9 lo suelen usar para minar la criptomoneda Monero?\u00bfC\u00f3mo eliminar el virus XMRig?\u00bfQu\u00e9 es XMRig?MRig es una herramienta de miner\u00eda de monedas, que est\u00e1 oficialmente desarrollada y distribuida por un usuario ep\u00f3nimo. La versi\u00f3n real actual de ese programa es 6.12.1, lanzada el 24 de abril de 2021. Permite usar la potencia de c\u00e1lculo de su GPU para realizar una operaci\u00f3n de miner\u00eda de criptomonedas. Calcular el hash del bloque (que generalmente se entiende bajo la miner\u00eda de criptomonedas) requiere mucho tiempo, y esa cantidad de tiempo puede reducirse mediante el aumento de la potencia del hardware. Las personas que se dedican a la miner\u00eda de criptomonedas utilizan el programa XMRig para controlar ese proceso a trav\u00e9s de las diversas configuraciones.Puedes elegir entre los n\u00facleos de miner\u00eda que difieren en el consumo de recursos y realizar varios ajustes para aumentar la eficiencia del proceso de miner\u00eda en stu computadora. Ese programa es definitivamente benevolente y leg\u00edtimo, y no tienes nada de qu\u00e9 preocuparte.XMRig es un minero de Monero popular y es preferido por los atacantes porque es f\u00e1cil de usar, eficiente y, lo m\u00e1s importante, de c\u00f3digo abierto. Por lo tanto, los atacantes pueden modificar su c\u00f3digo. Por ejemplo, la mayor\u00eda de los criptomineros de Monero donan a la fuerza un porcentaje de su tiempo de miner\u00eda a los desarrolladores del minero. Una modificaci\u00f3n com\u00fan que hacen los atacantes es cambiar el porcentaje de donaci\u00f3n a cero.\u00bfC\u00f3mo se manifiesta este malware?El cryptojacking puede ocurrir en varios tipos de dispositivos y millones de usuarios han sido infectados en ataques recientes. Con el malware, el objetivo es infectar con \u00e9xito tantos puntos finales como sea posible, y la evaluaci\u00f3n de los ataques recientes muestra que los actores de amenazas intentar\u00e1n apuntar a cualquier cosa que pueda brindarles potencia inform\u00e1tica gratuita. Aparte del servidor o punto final m\u00e1s com\u00fan, tambi\u00e9n se ha observado cryptojacking en:Sitios webDispositivos m\u00f3vilesBotnets de Internet de las cosas (IoT)Sistemas de control industrialAunque pueda parecer que cualquier dispositivo sirve, los mineros m\u00e1s atractivos son los servidores, que tienen m\u00e1s potencia que los dispositivos antes mencionados, tiempo de actividad 24\/7 y conectividad a una fuente de energ\u00eda confiable. Las CPU \/ GPU del servidor son adecuadas para la miner\u00eda de Monero, lo que significa que el malware basado en XMRig podr\u00eda esclavizarlos para extraer monedas continuamente.Las vulnerabilidades de los servidores existen porque muchas organizaciones a\u00fan ejecutan sistemas y activos obsoletos que han superado el final de su vida \u00fatil, lo que resulta en exploits f\u00e1ciles de encontrar que los comprometen e infectan. Peor a\u00fan, nuestros investigadores creen que los servidores m\u00e1s antiguos que no se han parcheado durante un tiempo tambi\u00e9n es poco probable que lo sean en el futuro, dej\u00e1ndolos susceptibles a la explotaci\u00f3n e infecci\u00f3n repetidas. Estos ataques est\u00e1n llegando a las organizaciones en la naturaleza, y un informe reciente de IBM X-Force se\u00f1al\u00f3 que los ataques de red con mineros de CPU de criptomonedas se han multiplicado por seis.Se sabe que el sector industrial ejecuta sistemas operativos y software obsoletos, lo que lo deja particularmente vulnerable. Muchas veces, las redes internas y operativas en la infraestructura cr\u00edtica pueden exponerlas a un mayor riesgo. Si bien la p\u00e9rdida de datos ser\u00eda un problema para cualquier organizaci\u00f3n, puede resultar en situaciones potencialmente mortales en una planta industrial.\u00bfQu\u00e9 s\u00edntomas provoca en el equipo?Debido a que XMRig CPU Miner es un troyano, se ha dise\u00f1ado para que parezca una actualizaci\u00f3n de Adobe Flash Player, que es un programa de software dirigido a menudo. XMRig tiene una GPU NVIDIA y una versi\u00f3n de GPU AMD. En el \u00faltimo a\u00f1o, los ciberdelincuentes han modificado este virus troyano, lo que permite al usuario actualizar su Adobe Flash Player para impulsar a\u00fan m\u00e1s la ilusi\u00f3n de que es el verdadero negocio.Gracias a los investigadores de seguridad que investigaron el virus, los usuarios pueden determinar varios detalles que delatan a XMRig:El navegador emergente del instalador dir\u00e1 que el editor es desconocido cuando deber\u00eda decir que el editor es Adobe Flash.La computadora del usuario de repente se volver\u00e1 lenta porque XMRig usa el 70% de la CPU de una computadora y consume energ\u00eda de las tarjetas gr\u00e1ficas.La computadora del usuario se calentar\u00e1 durante largos per\u00edodos de tiempo, lo que reducir\u00e1 la vida \u00fatil de la CPU.Los usuarios pueden notar el programa Wise en su computadora y Winserv.exe. expediente.Los investigadores no se han concentrado en las URL que llevan a los usuarios a descargar accidentalmente el virus, pero hay muchas formas de prevenirlo y otros virus.\u00bfPor qu\u00e9 este minero de criptomonedas es tan atractivo para los ciberdelincuentes?El mundo del malware puede generar millones de cepas diferentes al a\u00f1o que infectan a los usuarios con c\u00f3digos iguales o muy similares. La reutilizaci\u00f3n de c\u00f3digo a menudo ocurre porque los desarrolladores de malware no reinventar\u00e1n la rueda si no es necesario.En el mundo de los troyanos bancarios, el ejemplo m\u00e1s infame es el c\u00f3digo fuente de Zeus v2, que se filtr\u00f3 en 2011 y desde entonces se ha utilizado innumerables veces, ya sea tal cual o en variaciones adaptadas a diferentes destinos o geograf\u00edas. Algunos ejemplos de c\u00f3digos de Zeus son Zeus Panda y Sphinx, pero el mismo ADN tambi\u00e9n vive en Atmos y Citadel. Algunas partes, en particular el mecanismo de inyecci\u00f3n, se incluyen en muchos otros troyanos bancarios.Un escenario similar de fuga de c\u00f3digo y su posterior reutilizaci\u00f3n ocurri\u00f3 en el espacio m\u00f3vil con la fuga del c\u00f3digo GM Bot en 2016. Ese c\u00f3digo fuente estimul\u00f3 el surgimiento de muchos otros troyanos m\u00f3viles, incluidos Bankosy, Mazar y SlemBunk, por nombrar algunos. El campo del malware m\u00f3vil vio surgir un segundo precursor cuando otro c\u00f3digo fuente, BankBot , tambi\u00e9n se filtr\u00f3 a principios de 2017, lo que dio lugar a enemigos adicionales.En cuanto a la arena del cryptojacking, que comenz\u00f3 a mostrar una mayor actividad a mediados de 2017, es f\u00e1cil darse cuenta de que el \u00fanico nombre que sigue repiti\u00e9ndose es XMRig. Aunque no es intr\u00ednsecamente malicioso, la disponibilidad ilimitada de este c\u00f3digo lo hace popular entre los actores maliciosos que lo adaptan para la miner\u00eda il\u00edcita de la criptomoneda Monero.En la actualidad, con el continuo desarrollo del cibercrimen y su implacable b\u00fasqueda por monetizar al m\u00e1ximo sus actividades maliciosas, es usual encontrar cada vez m\u00e1s familias de malware vinculadas con la criptominer\u00eda. Adicionalmente, m\u00e1s all\u00e1 de c\u00f3mo son detectados algunos c\u00f3digos maliciosos, existen muchas aplicaciones potencialmente no deseadas (PUAs) que tambi\u00e9n realizan estas acciones sin advertirle claramente al usuario. Estos fen\u00f3menos no ser\u00edan posibles sin la gran expansi\u00f3n que ha sufrido el mercado de las criptomonedas en los \u00faltimos a\u00f1os, logrando atraer no solo la atenci\u00f3n de los cibercriminales, sino tambi\u00e9n de muchos desarrolladores que han implementado sus propios algoritmos de miner\u00eda de c\u00f3digo abierto sin tener relaci\u00f3n alguna con actividades maliciosas.\u00bfPor qu\u00e9 lo suelen usar para minar la criptomoneda Monero?Monero, que significa \u00abmoneda\u00bb en esperanto, es una criptomoneda descentralizada que creci\u00f3 a partir de una bifurcaci\u00f3n en la cadena de bloques ByteCoin. El proyecto en s\u00ed es de c\u00f3digo abierto y financiado por crowdfunding.A diferencia de las criptomonedas anteriores, Monero, que comenz\u00f3 en 2014, cuenta con una miner\u00eda m\u00e1s f\u00e1cil y transacciones imposibles de rastrear y ha visto aumentar su valor con el tiempo. El algoritmo de prueba de trabajo, CryptoNight, favorece las CPU de computadora o servidor, en contraste con los mineros de bitcoin, que requieren hardware GPU relativamente m\u00e1s caro para extraer monedas.Estas caracter\u00edsticas atraen a nuevos mineros leg\u00edtimos, pero son igualmente atractivos para los ciberdelincuentes que buscan ganar dinero sin tener que invertir gran parte de sus propios recursos. Recurren al uso de malware o simplemente a reelaborar XMRig para minar Monero.El Proyecto Monero no respalda ninguna herramienta, software o hardware en particular para mineros. Si bien hay al menos otros tres c\u00f3digos disponibles, la elecci\u00f3n popular entre los ciberdelincuentes parece ser el c\u00f3digo XMRig de c\u00f3digo abierto.Seg\u00fan la investigaci\u00f3n existente sobre el uso malicioso de XMRig, los desarrolladores de sombrero negro apenas han aplicado cambios al c\u00f3digo original. Las modificaciones anteriores muestran algunos cambios en los argumentos de la l\u00ednea de comandos codificados que contienen la direcci\u00f3n de la billetera del atacante y la URL del grupo de miner\u00eda, adem\u00e1s de cambios en algunos argumentos que eliminan todas las instancias de XMRig que se estaban ejecutando anteriormente para garantizar que nadie m\u00e1s se beneficie del mismo hardware. Los cambios de este alcance pueden tardar unos minutos en realizarse.Dado que es un proyecto de c\u00f3digo abierto, XMRig generalmente env\u00eda una donaci\u00f3n del 5 por ciento de los ingresos obtenidos de las monedas extra\u00eddas a la direcci\u00f3n de la billetera del autor del c\u00f3digo. Las iteraciones maliciosas de XMRig eliminan ese fragmento y los atacantes recolectan el 100 por ciento del bot\u00edn.Algunos ejemplos de nombres de malware que se generaron a partir del c\u00f3digo XMRig y aparecieron en ataques recientes son RubyMiner y WaterMiner.En t\u00e9rminos de la escala de ataque de los mineros basados \u200b\u200ben XMrig, las cifras son sorprendentes. En enero de 2018, los investigadores identificaron 250 ejecutables \u00fanicos basados \u200b\u200ben Windows utilizados solo en una campa\u00f1a basada en XMRig. La operaci\u00f3n de infecci\u00f3n general se complet\u00f3 con su propia zona de descarga desde una plataforma de almacenamiento en la nube, us\u00f3 los servicios de proxy XMRig para ocultar el grupo de miner\u00eda de destino e incluso conect\u00f3 la campa\u00f1a con un mercado de miner\u00eda de criptomonedas alojado en la nube que conecta a los vendedores de poder de hash con los compradores para maximizar beneficios para el atacante.\u00bfC\u00f3mo eliminar el virus XMRig?Para eliminar xmrig.exe de tu computadora, sigue los siguientes pasos uno por uno. Esto desinstalar\u00e1 xmrig.exe si era parte del software instalado en tu computadora.Si el archivo es parte de un programa de software, tambi\u00e9n tendr\u00e1 un programa de desinstalaci\u00f3n. Luego puedes ejecutar el desinstalador ubicado en un directorio como C: Archivos de programa> www.xmrig.com> XMRig> XMRig CPU miner> xmrig.exe_uninstall.exeSi el xmrig.exe se instal\u00f3 usando el instalador de Windows o en Android, para desinstalarlo ve a Configuraci\u00f3n del sistema y abre la opci\u00f3n Agregar o quitar programasLuego busca xmrig.exe o el nombre del software XMRig en la barra de b\u00fasqueda o prueba el nombre del desarrollador www.xmrig.com.Haz clic en \u00e9l y selecciona la opci\u00f3n Desinstalar programa para eliminar el archivo xmrig.exe de tu computadora. Ahora, el programa de software XMRig junto con el archivo xmrig.exe se eliminar\u00e1n de tu computadora.Usar GridinSoft Anti-Malware sin duda ser\u00eda el mejor remedio. No faltan las aplicaciones de software de ciberseguridad ofrecidas que detectar\u00e1n y eliminar\u00e1n el malware de miner\u00eda. A diferencia de Microsoft Defender, el programa GridinSoft no tiene vulnerabilidades que permitan que los virus eviten el lanzamiento del antivirus. Ese programa tambi\u00e9n consume mucha menos capacidad de hardware, por lo que encajar\u00e1 idealmente incluso en las PC obsoletas.Descarga el softwareCuando el archivo de instalaci\u00f3n haya terminado de descargarse, haz doble clic en el archivo install-antimalware-fix.exe para instalar GridinSoft Anti-Malware en tu sistema.Un Control de cuentas de usuario te pregunta si debes permitir que GridinSoft Anti-Malware realice cambios en tu dispositivo. Por lo tanto, debes hacer clic en \u00abS\u00ed\u00bb para continuar con la instalaci\u00f3n.GridinSoft Anti-Malware comenzar\u00e1 autom\u00e1ticamente a escanear tu sistema en busca de archivos xmrig.exe y otros programas maliciosos. Este proceso puede tardar entre 20 y 30 minutos, por lo que te sugiero que compruebes peri\u00f3dicamente el estado del proceso de escaneo.Cuando finalice el an\u00e1lisis, ver\u00e1s la lista de infecciones que GridinSoft Anti-Malware ha detectado. Para eliminarlos, haz clic en el bot\u00f3n \u00abLimpiar ahora\u00bb en la esquina derecha.Mitigar el riesgo de amenazas conocidas debe ser una parte integral de tus pr\u00e1cticas de administraci\u00f3n de seguridad e higiene cibern\u00e9tica. Si bien la b\u00fasqueda de malware a menudo se considera un esfuerzo de golpear a un topo, prevenir el c\u00f3digo malicioso basado en XMRig es m\u00e1s f\u00e1cil debido a su prevalencia en la naturaleza.Dado que XMRig miner es de c\u00f3digo abierto y se sigue reutilizando en los ataques, los equipos de seguridad deben buscar controles que brinden protecci\u00f3n general y eliminen diferentes iteraciones de este c\u00f3digo. Para aquellos que ejecutan servidores y sistemas operativos m\u00e1s antiguos en los que el riesgo de infecci\u00f3n es mayor, las mejores pr\u00e1cticas de seguridad requieren minimizar la exposici\u00f3n, implementar controles de compensaci\u00f3n y planificar una actualizaci\u00f3n r\u00e1pida para reducir los riesgos."},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2021\/08\/20\/xmrig\/#breadcrumbitem","name":"XMRig, un minero de criptomonedas al servicio de hackers"}}]}]