Miles de webs gubernamentales minaban criptomonedas en países como Reino Unido, Australia y Estados Unidos

En un ataque sin precedentes conocidos, miles de webs gubernamentales de países como Reino Unido, Australia y Estados Unidos presentaban durante las últimas horas códigos de minado de la criptomoneda Monero, una de las más anónimas. La inyección ha logrado ser tan masiva porque el hackeo se ha llevado a cabo contra un plugin de accesibilidad común a los portales afectados.

El investigador de seguridad Scott Helme ha sido el responsable del hallazgo. No hace ni 24 horas, tuiteaba: "Tengo una lista de más de veinte dominios .gov.uk [Gobierno británico] .nhs.uk [servicio de salud británico] y .ac.uk [instituciones educativas británicas] afectados hasta ahora. También parece haber golpeado a otros sitios gubernamentales incluyendo portales de Estados Unidos y Australia".

Un vistazo a…
Ransomware: qué es, cómo infecta y cómo protegerse

En otro tuit enlazaba a una lista de más de 4.000 sitios probablemente afectados. Medios británicos como la cadena de televisión Sky News o el periódico The Guardian elevan la cifra de webs afectadas a "más de 5.000" a nivel mundial.

Una sola compañía atacada, miles de sitios webs comprometidos

Lo que une —o unía hasta hace unas horas— a todos estos portales es la presencia del plugin Browsealoud de la empresa Texthelp. Un complemento de asistencia para visitantes con dificultades visuales que, en este caso, ha resultado ser el eslabón más débil. Según apuntan los primeros indicios, fue inyectado con código del minero conocido como Coinhive y actuó como caballo de Troya.

"Este tipo de ataque no es nuevo, pero es el más grande que he visto. Una sola empresa que está siendo hackeada ha significado miles de sitios impactados en el Reino Unido, Irlanda y Estados Unidos", decía Helme a Sky News.

Texthelp asegura que el plugin fue comprometido durante la mañana del domingo y permaneció activo durante cuatro horas. En cuanto tuvieron conocimiento de lo sucedido fue desconectado y, por tanto, desapareció de todos los sitios web que lo usaban. Un extremo que confirmó el Centro Nacional de Ciberseguridad del Reino Unido que ya investiga el incidente.

A pesar de que el responsable de seguridad de la compañía, Martin McKay, ha asegurado que la detección del problema fue posible gracias a las pruebas de seguridad automatizadas y continuas que realizan, añadiendo que no se ha accedido o perdido ningún dato de ningún cliente, van a llevar a cabo una auditoría externa de la seguridad de los sistemas de la empresa.

Pese a la temprana reacción de los responsables del complemento afectado, sitios webs oficiales como el de la Oficina del Comisionado de Información del Reino Unido dejaron de estar en línea durante un tiempo dado que, potencialmente, los equipos de los visitantes estaban siendo usados por los atacantes para extraer criptomonedas.

En Genbeta | Detectado código de minado de criptomonedas en la web de Movistar España, aunque ya ha sido eliminado

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta