Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Estudio del análisis de WannaMine

Fecha de publicación 15/04/2021
Español

Este estudio realizado tras el análisis de una muestra de malware de la familia WannaMine, con el principal objetivo de identificar las acciones que realiza y cómo se propaga, así como la identificación de la familia a la que pertenece y posibles efectos destructivos que pueda ocasionar, para conocerlo y poder llevar a cabo acciones de prevención y respuesta adecuadas.

La finalidad principal de WannaMine es el cryptojacking, utilizando los equipos afectados para realizar minería de criptomonedas. Está compuesto por varios artefactos, y es capaz de extraer credenciales de los sistemas afectados utilizando Mimikatz, y de explotar la vulnerabilidad EternalBlue.

La muestra objeto de este análisis, desarrollado por el equipo de INCIBE-CERT, es un artefacto malicioso Powershell, el cual ha sido detectado en los sistemas de, al menos, una entidad nacional.

En este análisis también se encuentra disponible un script que elimina WannaMine del sistema, una regla IOC y otra Yara para ayudar en la detección de muestras pertenecientes a la familia WannaMine.

El informe técnico incluye:

  • Información general.
  • Resumen de acciones.
  • Análisis detallado.
  • Persistencia.
  • Movimiento lateral.
  • Minado de criptomonedas.
  • Limpieza del sistema.