WannaMine es un malware de minado de criptodivisas que utiliza un exploit de la NSA

En abril de 2017 se destapó que el grupo de hackers Shadow Brokers filtró una gran cantidad de exploits y herramientas creadas y petenecientes a la NSA, un material que en la actualidad está siendo utilizado por los cibercriminales.

El caso más conocido de utilización de un exploit de la NSA es WannaCry. El malware que causó estragos a nivel mundial en mayo de 2017 tenía implementado EternalBlue, un exploit que se dedicaba a aprovechar una vulnerabilidad hallada en el protocolo SMB para infectar computadoras. Viendo el poco tiempo que transcurrió entre los dos hechos, es obvio que los cibercriminales no dudaron un segundo en emplear el material procedente de la agencia estadounidense, con unos resultados que se pueden considerar como devastadores.

Parece que los cibercriminales han visto un gran potencial en EternalBlue, por lo que han decidido implementarlo también en programas maliciosos del tipo que está ahora de moda: el de minado de criptodivisas. Uno de los malware de minado de criptodivisas con EternalBlue incluido fue descubierto en octubre de 2017 por la empresa española Panda Security. Recibió el nombre de WannaMine y aparentemente es menos peligroso que WannaCry debido a que en ningún momento bloquea de forma irreversible el ordenador de la víctima, percibiéndose como mucho una disminución en el rendimiento debido al proceso de minado. Sin embargo, eso no quiere decir que WannaMine esté operando sin causar estragos, ya que según CrowdStrike, algunas empresas han visto que no pueden operar con normalidad durante días e incluso semanas. La situación se complica si tenemos en cuenta que es difícil de detectar porque no descarga ficheros en el dispositivo infectado.

Los métodos de difusión empleados por WannMine aparentemente no son extraordinarios, siendo la vía principal el invitar a la potencial a hacer clic sobre algún enlace malicioso colocado en una página web o un email para otorgar acceso remoto al hacker. Una vez que el script de WannaMine haya infectado la computadora, se apoya en PowerShell y Windows Management Instrumentation para llevar a cabo la actividad para la que fue programado.

Tras todo lo dicho hasta aquí hay que tener en cuenta una cosa, que la vulnerabilidad que se intenta explotar mediante EternalBlue está parcheada por Microsoft desde hace tiempo, por lo que en primer lugar no utiliza el exploit de la NSA, sino una herramienta llamada Mimikatz, la cual se encarga de extraer inicios de sesión y contraseñas de la memoria de la computadora. Las credenciales robadas serían usadas para infectar a otras computadoras que se encontraran en la misma red, algo que gana relevancia cuando se trata de una empresa. La adición de Mimikatz permite a WannaMine poder infectar a ordenadores que están totalmente parcheados.

Una vez haya conseguido infectar con éxito la computadora objetivo, WannaMine se dedicará a utilizar la CPU para minar Monero, la criptodivisa más utilizada en este tipo de malware. Como ya hemos comentado, el único perjuicio que notará el usuario a simple vista es una disminución en el rendimiento, algo que no tendrá un gran impacto en el caso de un usuario doméstico que utilice un ordenador moderno y relativamente potente, pero que puede terminar siendo desastroso para las empresas debido a que el abuso de la CPU podría hasta apagar los servicios que utilizan.

El mayor inconveniente al que se enfrentan usuarios y empresas es que muchos antimalware tradicionales no detectan malware que no inyectan ficheros en los ordenadores, por lo que WannaMine podría estar infectando a una cantidad incontable de equipos sin que los mantenedores de sistemas se estén percatando de que la pérdida de rendimiento de los equipos se debe a un malware y no a otro tipo de incidencia técnica.

Fuente: Motherboard