Descubren nueva variante de Watchbog que afecta a Windows

La empresa de análisis de malware automatizado “Intezer”, ha descubierto una nueva variante de “WatchBog” la cual implementa exploits de BlueKeep que afectan directamente a sistemas basados en Windows a través del protocolo RDP (3389).

El ataque se ejecuta con un script de implementación inicial cuando infecta un objetivo. Este configura su persistencia a través de crontab (linux) y descarga más módulos de cripto-minería desde Pastebin. Luego el script se comunica con un payload codificado en base64, que ejecuta otros módulos dentro de los cuales destaca la implementación de un nuevo esparcidor que incorpora un escáner con exploits de BlueKeep.   

WatchBog es una botnet de minería de criptomonedas que se detectó en noviembre de 2018 y afectaba únicamente a servidores Linux, sin embargo, la vulnerabilidad ahora también puede comprometer sistemas Windows. Lo preocupante, es que actualmente, el malware enviado por los ciberdelincuentes no es detectado por todos los sistemas de antivirus.

Se recomienda lo siguiente:

• Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
• Bloquee el puerto 3389 utilizando un firewall o hágalo accesible sólo a través de una VPN privada.
• Habilitar la autenticación de nivel de red (NLA): esta es una mitigación parcial para evitar que cualquier atacante no autenticado explote esta falla Wormable.