17/05/2017
Novo ataque foi descoberto nas investigações do WannaCry

Novo ataque descoberto nas investigações do WannaCry

O vírus Adylkuzz, tem origem em uma botnet de mineração de moedas virtuais. Ao contrário do WannaCry, esse vírus não tem como objetivo sequestrar seus dados, mas de utilizar os recursos computacionais para mineração de moedas virtuais, no caso Monero, que é uma moeda mais difícil de rastrear do que o bitcoin.

Estatísticas mostram que essa exploração vem ocorrendo desde 24 de abril, e que devido ao seu modus operandi tenha blindado empresas ao ransonware WannaCry.

Analistas expuseram um sistema vulnerável à exploração EternalBlue numa tentativa de infectá-la com uma amostra da variante do ransomware WannaCry. No entanto, dentro de 20 minutos da exposição, o sistema vulnerável foi infectado com Adylkuzz. O ataque botnet foi lançado a partir de vários servidores virtuais privados encarregados de escanear a internet para sistemas vulneráveis ​​que tinham a porta TCP 445 exposta. Uma vez que um sistema vulnerável foi explorado com sucesso pelo EternalBlue (exploit utilizado pelo WannaCry) ele é infectado com DoublePulsar, uma técnica de injeção de DLL do kernel que cria um backdoor. O DoublePulsar baixa o Adylkuzz de um host externo e o executa. Uma vez lançado, o Adylkuzz terminará primeiro todas as instâncias que já estão sendo executadas no sistema e bloqueará o tráfego SMB evitando novas infecções, incluindo aquelas resultantes do WannaCry. Em seguida, coleta o endereço IP público da vítima e baixa o software de mineração de criptografia, as instruções de mineração e as ferramentas de limpeza. Analistas determinaram que este ataque foi projetado para minar Monero, uma criptografia que é apontado como uma alternativa mais segura e anônima ao Bitcoin.

Para detectar se sua empresa foi infectada pelo Adylkuzz é recomendável que você verifique os logs e seus fluxos de rede em busca de conexões com os domínios listados pelo relatório da Proofpoint (empresa que descobriu a ameaça) disponível no link: https://goo.gl/y07Q4u

Também é importante analisar os sintomas causados pelo vírus: perda de performance de máquina e a perda de funcionalidade do recurso de compartilhamento do Windows.

Reforçamos que a iT.eam está disponível para apoiar todas as empresas em identificar e remediar os problemas gerados por essas epidemias.

 

Deixe seu comentário

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

Veja também:

Malware SocGholish: Protegendo usuários de execuções maliciosas de JavaScript
20/06/2024
Criando uma simples política de grupo que evita execuções de payloads maliciosos na máquina de usuários. SocGholish e Gootloader. Duas famílias de malware que, além de aparecerem nas top10 ameaças…
Threat Hunting Malware Terminator
11/07/2023
Na comunidade hacker ao redor do mundo, tem sido mencionado um notório agente de ameaças conhecido como Spyboy, que está promovendo uma poderosa ferramenta chamada “Terminator”. O autor promete que…
Conheça as ameaças para vencê-las – SOC – Threat Intelligence
03/04/2023
Conheça as ameaças para vencê-las – SOC – Threat Intelligence Realizamos a coleta de dados no IBM Security X-Force para construção deste nosso relatório. O ano de 2022 foi bastante…
Invasor-a-bordo
INVASOR A BORDO: As semelhanças entre o Xenomorfo e Ransomware
31/10/2020
ALERTA VERMELHO! HÁ UM SER NÃO IDENTIFICADO NA NAVE. REPITO, HÁ UM INVASOR A BORDO! Um marco dos filmes de sci-fi ao se estabelecer como um novo paradigma para as…

Quer mais segurança para sua empresa?

Converse agora com
nossos consultores

Entre em contato COM A IT.EAM
Facebook Linkedin Twitter
+55 (31) 4063-7340 contato@it-eam.com
Rua Sergipe, 1014 | 6º andar
Bairro Savassi - Belo Horizonte, MG
CEP: 30.130-171

iT.eam Copyright 2024 - Todos os direitos reservados.

Acesse nossa Política de Segurança da Informação. | Acesse nossa Política de Privacidade da Informação. | Acesse nossa Política Antissuborno e Anticorrupção. |   Canal de Ética