Novo ataque descoberto nas investigações do WannaCry

O vírus Adylkuzz, tem origem em uma botnet de mineração de moedas virtuais. Ao contrário do WannaCry, esse vírus não tem como objetivo sequestrar seus dados, mas de utilizar os recursos computacionais para mineração de moedas virtuais, no caso Monero, que é uma moeda mais difícil de rastrear do que o bitcoin.

Estatísticas mostram que essa exploração vem ocorrendo desde 24 de abril, e que devido ao seu modus operandi tenha blindado empresas ao ransonware WannaCry.

Analistas expuseram um sistema vulnerável à exploração EternalBlue numa tentativa de infectá-la com uma amostra da variante do ransomware WannaCry. No entanto, dentro de 20 minutos da exposição, o sistema vulnerável foi infectado com Adylkuzz. O ataque botnet foi lançado a partir de vários servidores virtuais privados encarregados de escanear a internet para sistemas vulneráveis ​​que tinham a porta TCP 445 exposta. Uma vez que um sistema vulnerável foi explorado com sucesso pelo EternalBlue (exploit utilizado pelo WannaCry) ele é infectado com DoublePulsar, uma técnica de injeção de DLL do kernel que cria um backdoor. O DoublePulsar baixa o Adylkuzz de um host externo e o executa. Uma vez lançado, o Adylkuzz terminará primeiro todas as instâncias que já estão sendo executadas no sistema e bloqueará o tráfego SMB evitando novas infecções, incluindo aquelas resultantes do WannaCry. Em seguida, coleta o endereço IP público da vítima e baixa o software de mineração de criptografia, as instruções de mineração e as ferramentas de limpeza. Analistas determinaram que este ataque foi projetado para minar Monero, uma criptografia que é apontado como uma alternativa mais segura e anônima ao Bitcoin.

Para detectar se sua empresa foi infectada pelo Adylkuzz é recomendável que você verifique os logs e seus fluxos de rede em busca de conexões com os domínios listados pelo relatório da Proofpoint (empresa que descobriu a ameaça) disponível no link: https://goo.gl/y07Q4u

Também é importante analisar os sintomas causados pelo vírus: perda de performance de máquina e a perda de funcionalidade do recurso de compartilhamento do Windows.

Reforçamos que a iT.eam está disponível para apoiar todas as empresas em identificar e remediar os problemas gerados por essas epidemias.