Una familia de malware recientemente descubierta llamada CoinMiner está provocando que muchos usuarios y empresas protejan muchos problemas, lo que dificulta la prevención o detección de la combinación de muchas características únicas.
El malware, una herramienta de búsqueda digital, utiliza la vulnerabilidad NSA EternalBlue para infectar a las víctimas y el kit de herramientas de Instrumental de administración de Windows (WMI) como una forma de ejecutar comandos en los sistemas infectados. Además, CoinMiner se ejecuta en memoria (malware sin archivos sin archivos), utiliza varias clases de comando y servidores de control para implementar los escenarios necesarios para infectar a las víctimas.
Todo esto crea una combinación de problemas para las computadoras antiguas, ya que ejecutar software antivirus ya no es adecuado para las nuevas técnicas de infección.
Evite infectarse con CoinMiner desactivando SMBv1
Para prevenir la infección con CoinMiner, hay una serie de medidas que los usuarios deben tomar. La más simple es prevenir la primera infección, EternalBlue, una vulnerabilidad SMB desarrollada por la NSA y filtrada en línea por el grupo de hackers Shadow Brokers. También se utiliza en ataques a WannaCry y NotPetya.
Los usuarios deben asegurarse de instalar el parche de seguridad MS17-010 de Microsoft o al menos apagar el protocolo SMBv1 en sus máquinas para que CoinMiner no tenga forma de acercarse.
Apague WMI
Si es necesario utilizar el protocolo anterior para lograr la interacción de la red, aún es posible evitar CoinMiner protegiéndose del segundo exploit de malware, que es WMI, el kit de herramientas integrado en las versiones de Windows. .
CoinMiner usa WMI para descargar scripts y otros componentes necesarios para infectar computadoras y luego descargar y ejecutar el archivo binario CoinMiner real.
Proceso de infiltración de la computadora CoinMiner
Trend Micro, la compañía que descubrió CoinMiner, recomienda apagar WMI en una máquina si no es necesario o al menos restringir el acceso a WMI solo a una cuenta de administrador, solo al personal de TI.
Las instrucciones sobre cómo apagar SMBv1 y WMI se proporcionan en esta dirección https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3- en-windows-and-windows y https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx . Para obtener información más detallada, Trend Micro también publicó un informe técnico detallado paso a paso para CoinMiner. http://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-uses-wmi-eternalblue-spread-fileless/
CoinMiner no es la primera herramienta de excavación digital que utiliza EternalBlue para atacar a las víctimas. Adylkuzz es el primer malware de este tipo, que comenzó a atacar poco después de que el equipo de Shadow Brokers lo filtró a la red. Por otro lado, CoinMiner es una de las pocas herramientas virtuales para extraer dinero menos que no basadas en programas.
Excavación de dinero digital de EternalBlue
Una familia de malware recién descubierta llamada CoinMiner está provocando que muchos usuarios y empresas protejan muchos problemas, lo que dificulta la prevención o detección de la combinación de muchas características únicas.
El malware, una herramienta de búsqueda digital, utiliza la vulnerabilidad NSA EternalBlue para infectar a las víctimas y el kit de herramientas de Instrumental de administración de Windows (WMI) como una forma de ejecutar comandos en los sistemas infectados. Además, CoinMiner se ejecuta en la memoria (malware sin archivos sin archivos), utiliza varias clases de comando y servidores de control para implementar los escenarios necesarios para infectar a las víctimas.
Todo esto crea una combinación de problemas para las computadoras más antiguas, ya que ejecutar software antivirus ya no es adecuado para nuevas técnicas de infección.
Evite infectarse con CoinMiner desactivando SMBv1
Para prevenir la infección con CoinMiner, hay una serie de medidas que los usuarios deben tomar. La más simple es prevenir la primera infección, EternalBlue, una vulnerabilidad SMB desarrollada por la NSA y filtrada en línea por el grupo de hackers Shadow Brokers. También se utiliza en ataques a WannaCry y NotPetya.
Los usuarios deben asegurarse de instalar el parche de seguridad MS17-010 de Microsoft o al menos apagar el protocolo SMBv1 en sus máquinas para que CoinMiner no tenga forma de acercarse.
Apague WMI
Si es necesario utilizar el protocolo anterior para lograr la interacción de la red, aún es posible evitar CoinMiner protegiéndose del segundo exploit de malware, que es WMI, el kit de herramientas integrado en las versiones de Windows. .
CoinMiner usa WMI para descargar scripts y otros componentes necesarios para infectar computadoras y luego descargar y ejecutar el archivo binario CoinMiner real.
Proceso de infiltración de la computadora CoinMiner
Trend Micro, la compañía que descubrió CoinMiner, recomienda apagar WMI en una máquina si no es necesario o al menos restringir el acceso a WMI solo a una cuenta de administrador, solo al personal de TI.
Las instrucciones sobre cómo apagar SMBv1 y WMI se proporcionan en esta dirección https://support.microsoft.com/en-us/help/2696547/how-to-enable-and-disable-smbv1-smbv2-and-smbv3- en-windows-y-windows y https://msdn.microsoft.com/en-us/library/aa826517(v=vs.85).aspx . Para obtener información más detallada, Trend Micro también publicó un informe técnico detallado paso a paso para CoinMiner. http://blog.trendmicro.com/trendlabs-security-intelligence/cryptocurrency-miner-uses-wmi-eternalblue-spread-fileless/
CoinMiner no es la primera herramienta de excavación digital que utiliza EternalBlue para atacar a las víctimas. Adylkuzz es el primer malware de este tipo, que comenzó a atacar poco después de que el equipo de Shadow Brokers lo filtró a la red. Por otro lado, CoinMiner es una de las pocas herramientas virtuales para extraer dinero menos que no basadas en programas.