La intromisión en los sistemas de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) por un grupo de hackers el año pasado tuvo como consecuencia uno de los ataques de ransomware históricamente más dañinos y con afectaciones a nivel mundial: el WannaCry. No obstante, el secuestro de información es poco elegante y trae mucha atención sobre el perpetrador. Lo de hoy entre los cibercriminales es la captura de poder de cómputo para realizar minería de criptomonedas. La sofisticada herramienta para vulnerar los equipos es el WannaMine, que al igual que el WannaCry, echa mano de un exploit desarrollado por la NSA.
Mientras el WannaCry encriptaba los discos duros para luego pedir el pago de un rescate que los liberaría del cifrado, el WannaMine se introduce en los equipos para tomar posesión del poder de procesamiento, que usa para realizar los cálculos para minar la criptomoneda Monero. Ambos códigos maliciosos cuentan en su arsenal para propagarse con el exploit EternalBlue, creado por la NSA, y expuesto por un grupo de hackers.
El 8 de abril del 2017, el grupo de hackers The Shadow Brokers filtró las herramientas de espionaje electrónico que encontraron en su incursión ilegal en los sistemas de la NSA. EternalBlue permite aprovechar una vulnerabilidad en el protocolo SMB versión 1 en los sistemas operativos Windows, y de esta manera poder Ejecutar Código Remoto (RCE) sobre la máquina víctima consiguiendo acceso al sistema. Lo ventaja de este exploit para los cibercriminales es que no es necesario autenticarse en el equipo para realizar el ataque, es decir, invalida la protección por contraseña.
Microsoft distribuyó el parche del sistema que resolvía esta vulnerabilidad un mes antes de que el grupo de hackers filtrara el EternalBlue. El 12 de mayo del 2017 inició el ataque del WannaCry, un mes después de la liberación del exploit por part de The Shadow Brokers. Para octubre de ese mismo año, la firma española Panda Security reportó el descubrimiento del WannaMine. Los equipos en los que no se ha instalado la actualización del sistema con el parche que resuelve la falla de seguridad son los más vulnerables al ataque de WannaMine. Pero este malware cuenta con más herramientas para tomar control de los equipos.
Las formas en que WannaMine puede infectar una computadora van desde un usuario que hace clic en un enlace malicioso en un correo electrónico o página web hasta un ataque de acceso remoto dirigido por un ciberdelincuente. Este malware no recurre a EternalBlue en su primer intento para infectar con su script una computadora. Primero, WannaMine usa una herramienta llamada Mimikatz para extraer inicios de sesión y contraseñas de la memoria de una computadora. Si eso falla, WannaMine utilizará EternalBlue para ingresar. Si esta computadora es parte de una red local, como en una oficina de la compañía, usará las credenciales robadas para infectar otras computadoras en la red.
El uso de Mimikatz es lo que lo hace al WannaMine peligroso aún para equipos protegidos contra EternalBlue por el parche de Windows. Eso es, que si la computadora está protegida contra EternalBlue, entonces, WannaMine aún puede robar las contraseñas de inicio de sesión con Mimikatz, y de esta forma propagarse.
Si bien Adyllkuzz es el primer malware enfocado al minado que hace uso de EternalBlue, éste presentaba una desventaja con respecto al WannaMine, la cual consiste en que debía instalar una aplicación en el equipo, lo cual lo hacía detectable para mucho antivirus. WannaMine, en cambio, no instala ninguna aplicación, lo cual dificulta su detección. En su lugar, este malware usa dos aplicaciones normales de Windows, PowerShell y Windows Management Instrumentation, para controlar la computadora infectada.
PowerShell es una interfaz de consola (CLI) con posibilidad de escritura y unión de comandos por medio de instrucciones. Una vez que el cibercriminal toma el control del equipo a través de WannaMine, introduce scripts en esta interfaz que la máquina ejecutará. En el caso del minado, la computadora es usada para resolver los problemas matemáticos necesarios para integrar la información de las transacciones realizadas con la criptomoneda, y que darán como resultado una recompensa en tokens.
Los ataques con malware del tipo de WannaMine afectan las operaciones comerciales de las empresas, haciendo que algunas no puedan operar durante días o semanas, pues causan que los sistemas y las aplicaciones en los equipos infectados se bloqueen debido a las altas velocidades de utilización de la CPU. La empresa de ciberseguridad CrowdStrike ha reportado casos de clientes que vieron inutilizados el 100% de sus sistemas con el ataque del WannaMine.
“El ransomware [como WannaCry] le da a la víctima la opción de pagar o no pagar” para recuperar su información, dijo Bryan York, director de servicios de CrowdStrike, en entrevista con el medio digital Motherboard. “Con WannaMine, mientras los atacantes puedan mantener el control de los sistemas que infectan, están ganando dinero. La creciente sofisticación de los cryptominers (malware de minería) es algo que creo que seguiremos viendo en el futuro”, sentenció.
