PowerGhost: ten cuidado con el minero fantasma

30 Jul 2018

Nuestros expertos han descubierto un minero que tiene como objetivo principal las redes corporativas. Gracias a su naturaleza fileless, sin archivos, PowerGhost permite que el malware conecte por sí mismo con las estaciones de trabajo o servidores de las víctimas sin ser visto. La mayoría de los ataques que hemos registrado hasta ahora han tenido lugar en India, Turquía, Brasil o Colombia.

Después de penetrar en la infraestructura de una compañía, PowerGhost intenta iniciar sesión en las cuentas del usuario de la red mediante la herramienta de administración remota Windows Management Instrumentation (WMI). El malware obtiene los nombres de usuario y contraseñas a través de una herramienta de extracción de datos llamada Mimikatz. El minero también se puede distribuir mediante el exploit de EternalBlue para Windows, utilizado por los creadores de WannaCry y ExPetr. En teoría, esa vulnerabilidad lleva un año parcheada, pero sigue funcionando.

Una vez en el dispositivo de la víctima, el malware intenta acentuar sus privilegios a través de vulnerabilidades en el sistema operativo (en esta publicación del blog Securelist encontrarás más información). Después, el minero se hace un hueco en el sistema y empieza a ganar criptomonedas para sus propietarios.

¿Por qué es tan peligroso PowerGhost?

Como cualquier otro minero, PowerGhost utiliza recursos informáticos para generar criptomonedas, lo que reduce el rendimiento del servidor y del resto del dispositivo, además de acelerar el desgaste, generando costes de sustitución.

Sin embargo, en comparación con la mayoría de los programas del estilo, PowerGhost es más complicado de detectar porque no descarga archivos maliciosos en el dispositivo. Lo que significa que puede operar sin ser percibido en tu servidor o estación de trabajo y generar más daños.

Además, en una versión del malware, nuestros expertos descubrieron una herramienta para ataques DDoS. El uso de los servidores de una empresa para bombardear otra víctima puede reducir o, incluso, paralizar las actividades de la operación. Una característica interesante es la capacidad del malware de comprobar si se ha ejecutado en un sistema operativo real o en un sandbox, lo que le permite evitar soluciones de seguridad tradicionales.

Los cazadores de PowerGhost

Para evitar la infección y proteger el equipo de PowerGhost u otro malware similar, debes monitorizar cuidadosamente la seguridad de las redes corporativas.

  • No omitas las actualizaciones de software y sistema operativo. Todas las vulnerabilidades explotadas por el minero ya han sido parcheadas por los proveedores. Los desarrolladores de virus suelen basarse en exploits que ya tienen solución.
  • Actualiza los conocimientos de tus empleados en materia de seguridad. Recuerda que muchos de los ciberincidentes se deben al factor humano.
  • Utiliza soluciones de seguridad de confianza con tecnología de análisis de comportamiento, está es la única forma en la que se puede detectar una amenaza sin archivo. Los productos empresariales de Kaspersky Lab interceptan tanto a PowerGhost como a sus componentes individuales, además de otros muchos programas maliciosos, incluidos los que ya conocemos.