Een cryptominer die besmette computers naar de cryptovaluta Monero laat minen verspreidt zich binnen netwerken via een exploit van de Amerikaanse geheime dienst NSA en een tool genaamd Mimikatz. Het gaat om de EternalBlue-exploit waar ook de WannaCry-ransomware vorig jaar gebruik van maakte.
Daarom heeft de cryptominer ook de naam "WannaMine" gekregen. De malware werd afgelopen oktober voor het eerst ontdekt en is nog altijd actief. Hoe de aanvallers in eerste instantie toegang tot het netwerk weten te krijgen is onbekend. Zodra de malware eenmaal op een machine binnen het netwerk actief is wordt er van de Mimikatz-tool gebruik gemaakt. Dit is een populair programma voor het stelen van inloggegevens.
Met de gestolen inloggegevens probeert WannaMine zich lateraal door het netwerk te bewegen om zo andere systemen te infecteren. Wanneer het gebruik van Mimikatz niets oplevert wordt de EternalBlue-exploit ingezet om nieuwe systemen te infecteren. De exploit werkt alleen als systemen Microsoft Security Bulletin MS17-010 van maart vorig jaar niet hebben geïnstalleerd.
De cryptominer vormt een grote belasting voor systemen. De malware gebruikt namelijk de volledige rekenkracht van de computer voor het minen van Monero. Securitybedrijf CrowdStrike meldt dat bij één getroffen organisatie nagenoeg de gehele omgeving door de hoge systeembelasting onbruikbaar was geworden. WannaMine is in het gebruik van de EternalBlue-exploit niet uniek. Vorig jaar werden ook al twee andere cryptominers ontdekt die van dezelfde exploit gebruikmaakten om zich te verspreiden genaamd Adylkuzz en Zealot.
Deze posting is gelocked. Reageren is niet meer mogelijk.