Hackers Eternalblue Coinminer

EternalBlue es el nombre del exploit del ransomware WannaCry, una de las peores amenazas que el mundo de la informática ha experimentado. Nacido en la Agencia de Seguridad Nacional (NSA) de Estados Unidos y filtrado por el grupo de hackers The Shadow Brokers, este exploit logró aprovecharse de las vulnerabilidades en el protocolo SMBv1, para permitir la distribución y la ejecución del malware desde la red y fuera de ella, afectando a miles de compañías a escala global.

Cuando todo parecía escrito con respecto de este tema, ha surgido un nuevo malware llamado CoinMiner, que se aprovecha de EternalBlue, entre otras características, para causar problemas a usuarios y empresas de seguridad que no pueden detectarlo con facilidad.

Específicamente, el malware utiliza el exploit EternalBlue y las herramientas WMI (Instrumental de Administración de Windows), como un mecanismo de ejecución de comandos en los sistemas vulnerados. De igual manera, CoinMiner se ejecuta en la memoria y emplea diversos servidores de comando y de control para desplegar los scripts y los componentes necesarios para el ataque.

¿Cómo protegerse de CoinMiner?

Afortunadamente, el ataque puede ser evitado con algunas medidas de seguridad. La más simple tiene que ver con la prevención del ataque a través de EternalBlue, instalando el parche de seguridad MS17-010 de Microsoft, o mediante la desactivación del protocolo SMBv1 en sus sistemas operativos. De esta forma, CoinMiner no tendrá forma de atacar.

En el caso de que el protocolo SMBv1 sea imprescindible para la operatividad de la red, el ataque con CoinMiner puede evitarse si los usuarios toman precauciones con respecto de la segunda etapa de explotación del malware, la cual es a través del uso de las herramientas WMI de Windows. En este sentido, el malware descarga las secuencias de comandos para persistir en cada host y abrir paso a las acciones de minería Bitcoin.

Trend Micro, la empresa que descubrió CoinMiner, ha recomendado deshabilitar WMI en aquellos sistemas donde no sea necesario disponer de esta herramienta, o restringir su acceso solo al administrador del equipo. Las guías para deshabilitar SMBv1 y WMI las puedes conseguir haciendo clic aquí. La compañía también publicó un informe técnico donde detalla el ataque paso a paso.