Pesquisadores de segurança da Proofpoint acabaram de revelar que houve outro ataque que usou as mesmas explorações implantadas no surto global de ransomware do WannaCry. Mais particularmente, O pesquisador Kafeine da Proofpoint diz que o exploit EternalBlue foi usado junto com um backdoor descrito como DoublePulsar. Ambos foram implantados na operação WannaCry. Em vez de ransomware, Contudo, esta outra campanha estava distribuindo software de mineração de criptomoeda identificado como Adylkuzz.
Detalhes técnicos sobre Adylkuzz WannaCry
Ponto de prova diz que descobriram “outro ataque em grande escala usando EternalBlue e DoublePulsar para instalar o minerador de criptomoedas Adylkuzz.“
As estatísticas iniciais sugerem que este ataque pode ser maior em escala do que o WannaCry, afetando centenas de milhares de PCs e servidores em todo o mundo: porque este ataque desliga a rede SMB para evitar mais infecções com outros malwares (incluindo o worm WannaCry) através dessa mesma vulnerabilidade, pode ter de fato limitado a propagação da infecção WannaCry da semana passada.
Os pesquisadores acreditam que o ataque Adylkuzz começou entre abril 24 e pode 2. Semelhante à campanha de ransomware WannaCry, esse ataque também foi bem-sucedido visando máquinas que ainda não haviam instalado as atualizações da Microsoft de março que abordavam as vulnerabilidades exploradas.
Descoberta do AdylKuzz
q Durante a pesquisa da campanha WannaCry, expusemos uma máquina de laboratório vulnerável ao ataque EternalBlue. Enquanto esperávamos ver o WannaCry, a máquina do laboratório foi infectada com um convidado inesperado e menos barulhento: o minerador de criptomoedas Adylkuzz. Repetimos a operação várias vezes com o mesmo resultado: dentro 20 minutos de exposição de uma máquina vulnerável à web aberta, foi registrado em um botnet de mineração Adylkuzz.
Sintomas AdylKuzz
A perda de acesso a recursos compartilhados do Windows e a degradação do desempenho do PC e do servidor estão entre os principais sintomas desse malware.
Várias grandes organizações também relataram problemas de rede que foram originalmente atribuídos à campanha WannaCry, os pesquisadores observaram. Esses problemas que as organizações estavam enfrentando são provavelmente desencadeados pela atividade da Adylkuzz, como não houve relato de notas de resgate. Pior é que este ataque parece estar em andamento e mesmo que não tenha recebido muita atenção, é certamente “bastante grande e potencialmente bastante perturbador”.
O ataque Adylkuzz é iniciado a partir de vários servidores privados virtuais conhecidos por escanear massivamente a Internet na porta TCP 445 para potenciais vítimas. Uma vez que a máquina é explorada com sucesso via EternalBlue, é então infectado com o backdoor DoublePulsar. A próxima etapa do ataque é o download e a ativação do Adylkuzz que é executado a partir de outro host. Quando o malware estiver em execução, ele interromperá primeiro todas as instâncias em potencial já em execução e bloqueará a comunicação SMB para evitar mais infecções, os pesquisadores explicam em seu relatório.
Finalmente, Adylkuzz determina o endereço IP público da vítima e baixa as instruções de mineração, o criptominerador, e algumas ferramentas de limpeza. Além disso, existem vários servidores de comando e controle Adylkuzz que hospedam os binários do cryptominer e as instruções de mineração a qualquer momento.
Adylkuzz está sendo usado para minerar a criptomoeda Monero
moeda (XMR) é anunciado como um seguro, privado, moeda não rastreável. É de código aberto e disponível gratuitamente para todos. Com Monero, você é seu próprio banco. De acordo com o oficial de Monero local na rede Internet, só você controla e é responsável por seus fundos, e suas contas e transações são mantidas privadas de olhares indiscretos.
No início deste ano, escrevemos sobre o potencial criminoso de Monero, que chamou a atenção do Federal Bureau pela possibilidade de explorações criminosas.
Monero foi lançado em 2014 e tem recursos de privacidade aprimorados. É uma bifurcação da base de código Bytecoin e usa assinaturas de anel que obscurecem a identidade. É assim que a criptomoeda esconde quais fundos foram enviados em ambas as direções - para quem e por quem.
Os pesquisadores dizem que identificaram mais de 20 configurações de host para escanear e atacar. Eles também estão cientes de mais de uma dúzia de servidores ativos de comando e controle Adylkuzz. Existem possivelmente muitos mais endereços de pagamento de mineração Monero e servidores de comando e controle Adylkuzz.
Como pesquisadores de várias empresas de segurança esperam que muitos outros ataques associados aconteçam, é altamente recomendável que organizações e usuários domésticos corrijam seus sistemas imediatamente para evitar qualquer comprometimento.