Global Preloader
Noticia Internacional
(17/May/2017) Propagación de botnet a través de herramienta de hacking de la NSA

Propagación de botnet a través de herramienta de hacking de la NSA

WannaCry tiene la atención de todo el mundo debido a su potencial destructivo, pero el crédito de ser el primero en explotar una vulnerabilidad de Server Message Block (SMB) mediante el EternalBlue en el puerto TCP 445 es para Adylkuzz, dice Proofpoint.

Al igual que WannaCry, el ataque aprovecha la vulnerabilidad EternalBlue para propagarse rápidamente de una máquina a otra, junto con la puerta trasera de la NSA llamada DoublePulsar que se utiliza para instalar un payload malicioso en las máquinas comprometidas.

Los síntomas de la infección, sin embargo, no son tan visibles como con WannaCry: pérdida de acceso a los recursos compartidos de Windows y la degradación del rendimiento del PC y el servidor.

De acuerdo con el investigador de seguridad Kafeine de Proofpoint, este ataque podría haber sido mucho más grande que el ransomware. Por otra parte, Kafeine sugiere que, debido a la corrección de la vulnerabilidad de Adylkuzz específicamente dirigida por WannaCry, podría haber limitado la infección de este último.

El ataque Adylkuzz se lanza desde varios servidores privados virtuales. EternalBlue aprovecha para obtener acceso, entonces la puerta trasera DoublePulsar se instala para descargar y ejecutar Adylkuzz de otro host. Una vez en funcionamiento, la criptomoneda detiene primero cualquier instancia potenciales de sí mismo y la comunicación de bloques SMB para evitar la infección adicional.

A continuación, el malware determina la dirección IP pública de la víctima y luego descarga las instrucciones para la mineria del cryptominer, y herramientas de limpieza. Como resultado, los binarios cryptominer e instrucciones están alojados en múltiples servidores de command & control (C&C).

Como parte de este ataque, Adylkuzz está minando para Monero, un criptomoneda que vio un aumento de la actividad en la DarkNet desde el año pasado.

Los pagos de minería de datos asociados con Adylkuzz sugiere que los ataques comenzaron el 24 de abril, el actor supuestamente cambió a una nueva dirección del usuario de minería, para evitar tener demasiados monederos pagados a una sola dirección. Tres direcciones observadas recibieron alrededor de 43.000 dolares en el pago, dice el investigador.

La vulnerabilidad de SMB que tanto WannaCry como Adylkuzz aprovechaban ha sido corregida por Microsoft en marzo de 2017, y también se resolvió en las plataformas soportadas a través de un parche de emergencia publicado el fin de semana. La instalación de estas actualizaciones debe evitar que el malware se propague aún más.

Mientras tanto, los investigadores de seguridad, aparentemente vinculados a los ataques WannaCry y el grupo de hackers ligado a Corea del Norte sugieren que más ataques podrían seguir. Aunque los ataques han disminuido de manera significativa a partir del lunes, incluso los sistemas industriales podrían estar en riesgo, advierten los expertos.