Difusiones de malware para minería basadas en Wanna-Cry en línea

2 de febrero de 2018


Los hackers han encontrado una nueva forma de utilizar el exploit EternalBlue, que fue robado de la Agencia de Seguridad Nacional de los EE. UU. desarrollaron un nuevo malware de minería llamado WannaMine, que se está utilizando para extraer secretamente criptomonedas con las computadoras de las víctimas. Este malware fue detectado por primera vez en octubre de 2017 por una compañía antivirus Panda Security, sin embargo, acaba de entrar en la etapa de distribución activa.

En abril de 2017, un malware llamado WannaCry, que se creó con el uso de EternalBlue, infectó una gran cantidad de computadoras con Windows. Este malware estaba entrando a través de la vulnerabilidad del sistema ya eliminada, que estaba relacionada con el protocolo SMB, y no solo lo bloqueaba, sino que también codificaba todos los datos en una computadora. Los atacantes exigieron un rescate en bitcoin. Si la víctima no pagaba el rescate, el virus borraba todos los datos robados. En general, más de 230 mil computadoras en 150 países se vieron afectadas por WannaCry.

Bryan York, director de servicios de CrowdStrike, dijo en una entrevista con Motherboard:

"EternalBlue, que anteriormente solo era utilizado por los actores del estado nación, ahora se está volviendo mucho más común en los programas maliciosos aprovechados por el criminal cibernético promedio".
Es seguro asumir que el nuevo malware es menos peligroso que WannaCry. Al menos porque no bloquea el acceso a una computadora. Según un mensaje del blog oficial de CrowdStrike, la compañía estaba monitoreando el malware y descubrió que prácticamente no afecta el rendimiento de una computadora, pero es muy difícil de detectar.

York dice que hay muchas maneras de permitir que este malware infecte su computadora: desde hacer clic en un enlace sospechoso desde un correo electrónico enviado por un extraño hasta un ataque dirigido en una computadora en particular.

¿Cómo funciona este virus? Utiliza dos aplicaciones estándar de Windows, PowerShell y Windows Management Instrumentation. Este malware no usa un exploit de inmediato. Inicialmente, WannaMine usa Mimikatz, un peaje que intenta robar inicios de sesión y contraseñas de una computadora infectada. Si falla, entonces es un turno para EternalBlue. Vale la pena señalar que si una computadora infectada es parte de una red local, entonces el malware infecta a todas las otras computadoras en esta red también. Luego de que los datos son robados, el malware llega al procesador de la computadora y comienza a explotar a Monero. Por lo tanto, debido a su naturaleza, WannaMine es literalmente indetectable por el software antivirus.

York continuó:

"Esto es importante, porque muchos productos antivirus heredados tienen problemas para bloquear el malware que no escribe archivos en el disco, lo que hace que WannaMine sea más difícil de solucionar desde un sistema. Ransomware le da a la víctima la opción de pagar o no pagar. Con WannaMine, tanto tiempo como los atacantes son capaces de mantener la persistencia en el sistema, están ganando dinero con ello. La creciente sofisticación de los mineros de criptomonedas es algo que creo que seguiremos viendo en el futuro ".
Un representante de CrowdStrike dijo que si WannaMine infecta a la gran mayoría de las computadoras de algunas empresas, sus operaciones podrían congelarse por un período indefinido.

Comentarios

Никто ещё не оставил комментариев. Желаете быть первым?