El malware EternalBlue sigue funcionando en la red

El investigador de seguridad Amit Serper de Cybereason informa que el Wannamine cryptominer,  el malware que utiliza el truco de EternalBlue NSA, sigue haciendo de las suyas en  Internet y un nuevo brote se está propagando. Los criptominers son programas maliciosos especialmente diseñados para trabajar en segundo plano en computadoras infectadas que extraen una gran variedad de monedas de cifrado sin el conocimiento de los propietarios.

Esta nueva variante del criptomer persistente de Wannamine todavía usa el bien conocido exploit EternalBlue SMB filtrado el año pasado por la NSA para penetrar en un ordenador objetivo y, una vez dentro, comienza a extraer criptomonedas según las instrucciones del actor de amenazas que lo construyó y se propagó a través de toda la red usando el mismo procedimiento. Aunque el exploit de EternalBlue fue muy  publicitado tanto por los expertos en seguridad como por los medios, y Microsoft lo parcheó el 14 de marzo de 2017, todavía hay alrededor de 1 millón de máquinas vulnerables con acceso a Internet.

Wannamine funciona explotando servidores SMB no parcheados utilizando EternalBlue, al igual que el malware NotPetya y WannaCry de 2017. Una vez dentro, el programa malicioso usa una instancia de PowerShell para descargar útiles específicas de la plataforma y el escáner PingCastle para ayudarlo a moverse rápidamente a través de la red hacia otros objetivos explotables.

Extrae monedas para obtener más poder de procesamiento

Mientras esto ocurre en segundo plano, Wannamine también cambia la configuración de administración de energía para obtener la máxima potencia disponible y genera cientos de procesos nuevos que usan los programas de PowerShell para conectarse a los servidores de grupo de minería y comenzar a ganar dinero para el atacante.El problema es que, aunque la vulnerabilidad de EternalBlue es muy conocida, todavía hay empresas y usuarios de Internet que no han parcheado sus ordenadores. Esto lleva a que muchos atacantes lo sigan usando.

Por lo tanto, asegurarse de que los ordenadores personales y de la compañía estén parcheados es probablemente el paso más importante que se puede tomar para evitar ser víctima del agujero de seguridad altamente peligroso EternalBlue, ya que permite a las herramientas maliciosas obtener derechos de ejecución de código de privilegio alto en dispositivos pirateados.