EternalBlue, el exploit de WannaCry, vuelve a la carga para minar Bitcoin
En lo que llevamos de año, dos amenazas importantes han conseguido infectar y provocar grandes quebraderos de cabeza a importantes compañías en todo el mundo. En el mes de mayor era WannaCry y dos meses después Petya volvía a hacer de las suyas. Pues bien, ahora una nueva familia de malware ha sido detectado bajo el nombre de CoinMiner y es el responsable de causar numerosos problemas a los usuarios y empresas de seguridad.
Y es que este software, a pesar de haber sido detectado, está siendo muy difícil de detener y acabar con él, ya que utiliza una combinación de varias técnicas para infectar a sus víctimas y ejecutar comandos en los sistemas infectados que hace que no sea nada fácil acabar con él.
Qué es CoinMiner y como protegernos para no ser infectados
Este software malicioso, basado en el minado de bitcoins, utiliza también la vulnerabilidad EternalBlue para infectar a sus víctimas y el kit de herramientas de WMI o Windows Managemente Instrumentation, como método para ejecutar comandos en los sistemas infectados. Pero por si fuera poco, CoinMiner también usa la técnica RunPE, es decir, se almacena en el búffer de memoria y de ahí que no pueda ser detectado fácilmente.
De esta forma, CoinMiner se ejecuta en memoria y por lo tanto no cuenta con un archivo físico que pueda detectarse. La combinación de todas estas capacidades, está haciendo que los expertos en seguridad no lo tengan fácil a la hora de detectarlo y acabar con él.
Recordemos que miles de ordenadores de todo el mundo minan bitcoins compitiendo unos con otros para obtener bitcoins como recompensa a la resolución de operaciones matemáticas. Esto hace que se forme una de las redes de computación más potente de hoy en día.
Entre las medidas que podemos tomar para evitar ser infectados con CoinMiner, una de ellas es desactivar el SMBv1. Algo que si no sabes cómo hacer, te recomendamos que sigas este enlace donde explicamos paso a paso cómo desactivar el protocolo SMB en Windows. También es recomendable asegurarse de haber instalado el parche de seguridad MS17-010 de Microsoft, si no es así, deberíamos hacerlo lo antes posible.
Las infecciones de CoinMiner también pueden evitarse si los usuarios se protegen contra la explotación del uso de WMI, ya que este malware utiliza Windows Managemente Instrumentation para descargar scripts y conseguir la persistencia en los equipos infectados. Tanto es así que Trend Micro, la empresa de seguridad que ha descubierto CoinMiner, recomienda deshabilitar WMI en todos los equipos donde no es necesario el uso de estas herramientas.
Si no sabemos cómo desactivar el servicio WMI en Windows, desde este enlace a la página oficial de Microsoft, podemos conocer más detalle de cómo desactivar WMI en Windows.