¿Te acuerdas de WannaCry? Este es el ataque que generó verdadero pánico en todo el mundo y que, en España, empezó nada más y nada menos que en el sistema informático de Telefónica. Luego se extendió a infinidad de países.
El ataque, atribuido por los Estados Unidos a Corea del Norte, puso de manifiesto las vulnerabilidades de Windows como sistema operativo. Los atacantes usaron un exploit llamado Eternal Blue que funcionaba como un gusano. Los atacantes usaron dos métodos usados por la Agencia Seguridad Nacional de Estados Unidos.
El software aprovechaba el protocolo de intercambio de archivos de red del bloque de mensajes de servidor (SMB) de Windows para causar verdaderos estragos. Por si esto fuera poco, y con el tiempo, han ido surgiendo nuevas amenazas, para las que también se ha aprovechado el principal exploit de Wannacry.
Algunos ataques importantes se produjeron justo después o incluso antes de la irrupción de WannaCry. El famoso NotPetya afectó a empresas de todo el mundo. Adylkuzz, que es un gusano de minería, comenzó a afectar previamente a WannaCry. También se han prodigado otros gusanos, como WannaMine y desde entonces, los investigadores no han cejado en su trabajo de descubrir y frenar todas estas amenazas. A pesar de eso, los efectos de WannaMine no han dejado de hacerse notar.
Los ataques persisten, WannaMine está muy vivo
Ha pasado un año desde que fue detectado, pero lo cierto es que WannaMine sigue haciendo estragos. Amit Serper, jefe de investigación de seguridad en Cybereason, ha publicado una investigación sobre el ataque perpetrado a uno de los clientes de la firma. Es Fortune 500.
La compañía fue atacada a través de WannaMine, con una afectación enorme en los sistemas de la empresa, a los que accedieron a través de un servidor SMB que no estaba parcheado.
Pero, ¿qué es WannaMine y cómo funciona exactamente? Los expertos cuentan es un ataque que funciona sin archivos o casi, lo que hace que un poco más complicada su detección. Hay que indicar, eso sí, que el ataque no funciona del todo sin archivos, porque se apoya en la descarga de un archivo enorme, repleto de texto codificado. Tiene tanto que incluso los editores se quedan colgados, de modo que es imposible cargar toda la cadena.
En el archivo hay más código y una herramienta que se encarga de robar las credenciales. Adicionalmente incluye un compilador de Windows. En su viaje al interior de los sistemas recolecta credenciales y datos de red, que se usan para intentar una conexión con otros ordenadores e instalar, lógicamente, más copias de malware. Este es su trabajo y principal objetivo.
Un arma de destrucción silenciosa
Ya te hemos contado en otras ocasiones que este tipo de malware para minar criptomonedas es un tanto silencioso. Y es perfectamente autónomo. El código PowerShell que incluye WannaMine, por ejemplo, está preparado para detectar si está en un sistema de 32 o 64 bits, para elegir en consecuencia la versión más adecuada para descargar.
Es capaz de configurarse a sí mismo para garantizar que persiste en los equipos incluso después de haberse apagado y cambia la configuración energética del equipo, para asegurarse de que la máquina no se apaga ni se duerme y se continúan minando criptomonedas.
El problema está, según los expertos, en que los ataques se están llevando a cabo desde los mismos servidores originales, lo que nos indica que los cibercriminales siguen campando a sus anchas. Y empresas y usuarios sufren las consecuencias por ello.
