Kingminer

¿Qué es?

Kingminer es una botnet de tipo criptojacking que se dirige a dispositivos Windows para minar criptomonedas Monero y realizar otras actividades maliciosas de manera distribuida sin el consentimiento de los usuarios.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

• Obtiene el control remoto y permite a los atacantes ejecutar comandos en los sistemas afectados.
• Descarga e instala otras herramientas, como Mimikats o explotadores de vulnerabilidades conocidas, para potenciar sus actividades maliciosas.
• Roba y extrae información sensible de los dispositivos afectados, mediante herramientas como Mimikatz.
• Ejecuta scripts maliciosos directamente en la memoria de los dispositivos infectados.
• Usa algoritmos de generación de dominios (DGA) para cambiar dinámicamente sus servidores de mando y control (C2).
• Utiliza técnicas avanzadas de evasión para evitar ser detectado por soluciones de seguridad.
• Desactiva servicios vulnerables para impedir que otros atacantes aprovechen las mismas vulnerabilidades.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Microsoft Windows, especialmetne SQL Server e Internet Information Services (IIS).

¿Cómo me infecta?

Esta botnet se distribuye a través de ataques de fuerza bruta, mediante combinaciones de nombres de usuario y contraseñas, y a través de la explotación de vulnerabilidades conocidas, como EternalBlue y BlueKeep, en sistemas no parcheados.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar el malware de esta botnet: accede a los cleaners.

Más información

• Uncovering a Kingminer Botnet Attack Using Trend Micro™ Managed XDR (Trend Micro)
• Kingminer escalates attack complexity for cryptomining (Sophos)
• Kingminer Botnet Keeps up with the Times (Bitdefender)
• Kingminer – a Crypto-Jacking Botnet Under the Scope (Bitdefender)
• Kingminer (Malpedia)