TIEMPO RE@L

domingo, 4 de febrero de 2018

WANNAMINE: Un malware para minar criptomoneda a costa de tu CPU

La sofisticación en el tema de la minería de criptodivisas aumenta a pasos enormes, y si a esto le sumamos el uso de poderosas herramientas como los exploits de la NSA, entonces quiere decir que estamos ante un tema complejo sin una solución sencilla a la vista. Los investigadores de seguridad de CrowdStrike acaban de confirmar el rápido y preocupante despliegue de WannaMine, un malware basado en nuestro viejo conocido EternalBlue y que sirve para infectar redes de ordenadores con el objetivo de minar criptomonedas, todo sin que el usuario se dé cuenta. Nuevamente regresa a escena EternalBlue, el exploit de la NSA que fue filtrado por The Shadow Brokers el año pasado, el cual sirvió para desencadenar aquel terrible WannaCry que infectó y secuestro cientos de miles de ordenadores en todo el mundo. Ahora, EternalBlue está sirviendo para un ataque mucho más silencioso, pero que de igual forma podría afectar a todo el mundo. WannaMine no secuestra ni bloquea ordenadores como WannaCry, sin embargo, aseguran que es capaz de bloquear toda la operación de una compañía debido al poder de procesamiento que requiere. Esto ha provocado que algunas empresas ya hayan reportado caídas en sus operaciones durante días e incluso semanas. La clave de WannaMine, a diferencia de otros malwares de minería, es que éste no instala ninguna aplicación en el dispositivo infectado, por lo que resulta especialmente complicado detectarlo. Según CrowdStrike, WannaMine tiene varias formas de meterse a un ordenador, que van desde un enlace malicioso en un correo electrónico o una página web, hasta un ataque remoto más sofisticado. Una vez que WannaMine está en el dispositivo, se aprovecha de PowerShell y Windows Management Instrumentation para hacer el resto del trabajo. En un primer intento se despliega Mimikatz, que sirve para extraer credenciales de inicios de sesión y contraseñas de la memoria. Si Mimikatz falla, entonces entra EternalBlue para forzar las cosas. Después de tener las contraseñas, lo siguiente es infectar a toda la red local para usar la potencia de las CPUs para minar, sobre todo Monero, en segundo plano. Sin alertas y sin programas que se pueden detectar, donde el usuario promedio notará cierta ralentización, pero nada más. Esto afectaría a la larga la operación general de la red o la compañía, ya que esa disminución en la potencia irá en aumento hasta que los ordenadores se vuelvan prácticamente inservibles. Hasta el momento no hay una solución para eliminar WannaMine de un ordenador, sólo afecta Windows y algunos antivirus son capaces de bloquearlo como si fuese EternalBlue, pero debido a que no instala programas es muy difícil de rastrear. WannaMine no es el primer malware para minería de criptodivisas basado en EternalBlue, pero sí es el más sofisticado al usar únicamente las herramientas del sistema :)
Creative Commons License
Esta obra está bajo una Licencia de Creative Commons.