Ransomware Adylkuzz usa a mesma ferramenta do WannaCry para atacar. |
A campanha massiva que propagou o ransomware WannaCryptor não foi o único caso de infecção em grande escala que usou os exploits EternalBlue e DoublePulsar, que foram vazados pelo grupo Shadow Brokers.
Começou a circular a notícia de que o ransomware Adylkuzz está se aproveitando da mesma vulnerabilidade no Windows que o WannaCryptor para infectar equipamentos, e, em seguida, usar os seus recursos para minerar bitcoin. Os sistemas afetados passam a fazer parte de uma botnet que minera a criptomoeda sem que seus donos o saibam.
Os exploits EternalBlue (usado para propagar o criptoransomware WannaCry) e DoublePulsar estão sendo utilizados propagar o Adylkuzz, uma ameaça que utiliza os computadores para criar moeda virtual.
Essa nova campanha, detectada pela ESET como Win32/CoinMiner.AFR e Win32/CoinMiner.AFU, iniciou-se poucos dias depois das ferramentas da NSA serem vazadas pelo grupo Shadow Brokers. A ESET incluiu as detecções de rede para as vulnerabilidades nas soluções ainda no dia 25 de abril, três dias antes das primeiras tentativas de ataque desses malwares mineradores.
O maior aumento foi registrado algumas horas antes da propagação do ransomware em todo o mundo, em 10 de maio. Nesse dia, as detecções de malware que mineravam as criptomoedas aumentaram de centenas para milhares de detecções ao dia. Vimos tais tentativas em mais de 118 países, como a Rússia, Taiwan e Ucrânia no topo da lista.
No entanto, o software de mineração consumia recursos do sistema de forma tão intensa que, em alguns casos, deixava as máquinas irresponsivas.
Os ataques desses mineradores também bloquearam a porta 445, usada pelo exploit EternalBlue para acessar à máquina, basicamente fechando a porta para qualquer outro ataque que usasse o mesmo vetor, incluindo o WannaCryptor. Se os mineradores não tivessem tido essa precaução, o número de infecções WannaCryptor poderia ter sido ainda maior do que o relatado. [ Fonte: ESET ].