¿Qué son los ataques “WannaMine” y cómo evitarlos?

ActualidadWannaMine

Actualmente hay un tema candente en la ciberseguridad que combina el exploit ETERNALBLUE y la criptominería.

ETERNALBLUE, es un exploit ,famoso por haber sido usado por el gusano WannaCry, que combinado con una carga de criptominería han creado una nueva amenaza llamada “WannaMine”.

Los ataques WannaMine no son nuevos, pero nuestro equipo de soporte recientemente ha detectado un aumento en el número de preguntas de nuestros clientes buscando consejo sobre este tema.

Por lo tanto hemos creado una serie de preguntas y respuestas que esperamos ofrezcan algo de luz sobre este punto:

P: ¿Es WannaMine como WannaCry? ¿Es un ransomware que enmaraña mi disco duro?

R: WannaMine es una palabra compuesta que se refiere a una familia de malware que aprovecha las capacidades de propagarse de WannaCry pero en vez de distribuir ransomware distribuye criptominería.

P: ¿Qué es el malware de criptominería? ¿Es tan peligroso como el ransomware?

R: La criptominería es cuando los ciberdelincuentes acceden a tu ordenador para realizar los cálculos necesarios para crear criptomonedas, como Bitcoin, Monero o Ethereum; quedándose ellos con las criptomonedas generadas.

Para hacer dinero con la criptominería se necesita gastar una gran cantidad de electricidad para poder realizar la potencia de procesamiento en un gran número de ordenadores.

Al instalar ilegalmente criptomineros en nuestra red, los ciberdelincuentes están robando recursos en su beneficio.

P: ¿Puede la criptominería dañar mi ordenador?

R: Hemos oído historias sobre baterías de móviles hinchadas debido al sobrecalentamiento que se da cuando a un dispositivo se le obliga a realizar cálculos de criptominería sin descanso.

Sin embargo, WannaMine no ataca a teléfonos móviles, ataca ordenadores Windows.

Incluso si no existen daños permanentes, probablemente notarás que la batería de tu portátil durara mucho menos, los ventiladores funcionarán a tope, y el portátil estará mucho más caliente que de habitual.

También si WannaMine entra en tu red, existe un serio riesgo de que entre otro malware al mismo tiempo, incluyendo ransomware.

P: ¿Si no tengo criptomonedas sigo estando en peligro?

R: Si.

Los ataques WannaMine no intentan encontrar tus criptomonedas y robarlas.

Lo que pretenden es usar tu ordenador para realizar cálculos de criptominería, sin importar si estás interesado en el tema o no.

P: ¿Puede el software de seguridad detener los ataques WannaMine?

R: Si.

El software de prevención de exploits (como Sophos Intercept X) puede bloquear ataques ETERNALBLUE y prevenir que este surja en las redes locales.

Los antivirus (como Sophos Endpoint Protection) pueden detener los procesos maliciosos que permiten el ataque de WannaMine, incluso si el exploit comienza a funcionar.

El software de protección de redes (como Sophos XG Firewall) puede bloquear la actividad en la red que se necesita para que funciones un malware como WannaMine.

P: ¿Qué más puedo hacer?

R: Actualiza tu equipo con asiduidad y escoge contraseñas robustas.

El malware WannaMine normalmente incluye el mismo exploit ETERNALBLUE que empleo WannaCry para distribuirse.

Ese exploit fue parcheado el año pasado en la actualización de Microsoft MS17-010, por lo que una red correctamente parcheada no debería afectarle esta amenaza

Si el agujero ETERNALBLUE ya está cerrado, WannaMine puede intentar expandirse utilizando herramientas de cracking de contraseñas para encontrar las débiles en la red local.

Solo se necesita un usuario en toda la red local con una contraseña débil para poner a todo el ecosistema en peligro.

A continuación os dejamos un vídeo en inglés donde nuestros expertos tratan este tema:


Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s