2017/05/17

Vulnerabilidade usada pelo WCry estava a ser usada há semanas para minar dinheiro digital


O ataque de ransomware que afectou milhares de empresas em todo o mundo só foi possível graças a uma vulnerabilidade roubada à NSA, mas essa mesma vulnerabilidade já estava a ser usada há semanas de forma despercebida por um malware que usa os computadores das vítimas para gerar dinheiro digital.

O ataque do ransomware WCry veio dar um rosto facilmente detectável a uma vulnerabilidade nos sistemas Windows que estava nos arquivos da NSA até ser roubada por um grupo de hackers que posteriormente a revelou na internet; mas semanas antes, sem que a maioria dos utilizadores afectados se apercebesse, essa vulnerabilidade do SMB já estava a ser usada para criar uma botnet criada para minar o dinheiro digital Monero.

A grande diferença é que aqui os utilizadores não têm forma fácil de detectar que estão infectados (não lhes aparece uma janela a pedir um resgate para recuperarem os seus ficheiros), a não ser que reparem que o seu computador está um pouco mais lento, mais quente, ou a consumir mais energia.

Os investigadores acreditam que este malware "Adylkuzz" poderá ter afectado (e continuar a afectar) ainda mais computadores que o ransomware WannaCry, e um curioso efeito secundário do mesmo poderá ter sido evitar que o ataque do WannaCry fosse ainda pior: pois ao infectar um sistema, este malware desactiva as portas SMB que são usadas para a sua propagação. Ou seja... o sistema fica "imunizado" contra ataques por via desta mesma vulnerabilidade.

Se notarem o computador a trabalhar mais "esforçado", convém verificarem se ele não estará a fazer serviços em benefício de um atacante que vai amealhando as moedas geradas.

4 comentários:

  1. Qual ou quais os processos a que devemos estar atentos, alguém sabe... ?

    ResponderEliminar
  2. "netsh.exe" > inibe a porta SMB e "msiexev.exe" > executa comandos do malware
    Estejam atentos a estes processos

    ResponderEliminar

[pub]