El segundo y aún mayor ataque cibernético mundial puede estar ya en marcha.
A medida que el mundo se recupera de ataque ransomware WannaCry, ha surgido ahora que un segundo, potencialmente mayor ataque, ya está en marcha. Parece que la proliferación generalizada de armas cibernéticas de uso militar ha dado paso a una nueva era de la delincuencia digital.
Bandidos cibernéticos se han desplegado de nuevo tanto las hazañas EternalBlue y DoublePulsar desarrollado y utilizado por la NSA, que fueron liberados por los piratas informáticos ShadowBrokers en abril.
"Las estadísticas iniciales sugieren que este ataque puede ser más grande en escala que WannaCry, que afecta a cientos de miles de ordenadores y servidores en todo el mundo: porque este ataque se apaga de red SMB para prevenir nuevas infecciones con otros programas maliciosos (incluyendo el gusano WannaCry) a través de la misma vulnerabilidad, que puede tener de hecho limitado la propagación de la infección WannaCry de la semana pasada ", escribió un investigador de seguridad que va por el alias de Kafeine en la compañía de seguridad cibernética Proofpoint.
Este último ataque utiliza los dos exploits para instalar el criptomoneda minero Adylkuzz sobre corporativa de área local y redes inalámbricas, pero, curiosamente, en realidad puede haber ayudado a frenar la propagación de WannaCry.
Sin embargo, en un caso aparente de "selección de su veneno", el minero Adylkuzz ralentiza drásticamente el rendimiento del PC y el servidor ya que extrae criptomoneda pero no bloquea los usuarios de sus máquinas y datos, como lo hizo WannaCry.
Investigadores de Proofpoint estimación de que el ataque Adylkuzz puede haber comenzado ya el 24 de abril, pero fue eclipsado posteriormente en la histeria que siguió a los ataques ransomware WannaCry.
El ataque se lanzó desde múltiples servidores privados virtuales, que buscar en la Internet en busca de vulnerabilidades para instalar el minero Adylkuzz.
La infección de malware se produce de la siguiente manera:
El EternalBlue explotar abre la puerta a la infección con DoublePulsar en un equipo de destino. DoublePulsar continuación, descarga y ejecuta Adylkuzz en el equipo.
Adylkuzz luego se detiene cualquier versión preexistentes de sí mismo en una máquina de destino, mientras que también bloquea las comunicaciones de red SMB con otras máquinas para prevenir cualquier infección de malware más lejos de la interrupción de sus operaciones. Inicialmente evita los profesionales de seguridad cibernética de identificar que existe un problema.
Una vez que la puerta se ha mantenido abierto y los riesgos de detección se han minimizado, a continuación, Adylkuzz descargas instrucciones minería, la propia minero criptomoneda y una variedad de herramientas de limpieza para enmascarar sus actividades.
Mientras que el criptomoneda término se asocia típicamente con Bitcoin , Adylkuzz en realidad minas Moneo , una moneda digital similar pero más fuertemente cifrada. Monero vio recientemente un alza significativa en el uso después de su aprobación en el AlphaBay mercado en la Web oscuro.
Como con otros cryptocurrencies, Monero expande en el casquillo de mercado a través de la auto-proliferación a través de la minería digital. Una monero es más o menos equivalente a $ 27 a las tasas de cambio actuales .
Durante su investigación, Proofpoint identificó tres direcciones que ya habían generado $ 7.000, $ 14.000 y $ de 22.000, respectivamente, antes de ser cerrado.
Para cubrir sus huellas, el que está detrás del ataque cambia regularmente la dirección de pago en línea para evitar atraer demasiado la atención.
Al igual que en el caso del ataque WannaCry, los piratas informáticos han aprovechado explota en armas de la NSA de los sistemas operativos de Microsoft legado para infectar cientos de miles de máquinas en todo el mundo con malware. Desde la fuga de éstos NSA los corredores de la sombra explota ha habido dos ataques de alto perfil con muchos más esperada en el futuro.
No hay comentarios: