El ransomware WannaCry se ha llevado la fama, pero no la lana, quien se está llevando la lana es el ransomware Adylkuzz, un ransomware que mina Monero en equipos infectados sin que el usuario se dé cuenta de este hecho.
Tras aparecer el caso de la infección en Telefónica, rápidamente nos pusimos a seguir el caso y ver que estaba pasando, con el paso de las horas conocíamos más datos y ahora sabemos quién fue el culpable, el ransomware WannaCry y que este tenía un Kill-switch que evitaba la infección. Este ransomware se basa en el EternalBlue el agujero de seguridad que debería de haber sido solventado por Microsoft. Según la firma de ciberseguridad ProofPoint, hay otro malware que está utilizando la vulnerabilidad de Windows para hacer algo diferente, hacer que la maquina infectada mine Monero. Este ransomware se ha denominado Aldylkuzz.
Este botnet se ha denominado como Adylkuzz y se basa en la ejecución de un algoritmo CryptoNight que se ejecuta en el ordenador sin autorización del usuario e incluso, sin que el usuario se dé cuenta a simple vista. Este algoritmo puede ser usado para minar varias criptomonedas de una manera más sencilla que el minado de Bitcoin, los hackers tras el malware, según la compañía de seguridad informática, están optando por hacer el minado de Monero. Esto es muy interesante, ya que una de sus características más importantes es la opacidad de su blockchain, algo que permite ocultar fondos de una manera bastante sencilla.
Dicho descubrimiento se ha realizado mientras algunos expertos usaban maquinas en el laboratorio, que eran vulnerables a los ataques EternalBlue, la base del WannaCry y que hace uso del agujero de seguridad de Windows que se solvento en marzo del pasado año. Los investigadores se sorprendieron cuando no se les infecto con el WannaCry, sino con Adylkuzz que tiene su origen en servidores privados que han estado escaneando la red en busca de maquinas vulnerables.
Se ha descubierto además otro elemento de malware peligroso robado a la NSA, como es DoublePulsar, que tras explotar la brecha de EternalBlue, se encarga de instalar el minero. Lo gracioso del asunto es que el malware parchea la vulnerabilidad de Windows, evitando la entrada de otro malware, como pueda ser el WannaCry y así fastidiar la fiesta.
La sintomatología no es ni de cerca tan evidente como en el caso del conocido ransomware y es por este motivo por el cual ProofPoint lo considera aun más peligroso. Sencillamente las victimas detectan una lentitud en el sistema y que no pueden acceder a los recursos compartidos del equipo. Algo alarmante es que este malware igual no tiene menos días de vida que WannaCry, sino más, ya que podría tener su origen antes que WannaCry, concretamente se especula que tendría su origen el 24 de abril. Esta infección no quiere nada de nosotros, solo minar Monero y podría acumular Altcoins por valor de más de un millón de de dólares, cifra mucho más elevada que la obtenida por WannaCry (la cual es una risa comparado con otros ransomware).
[quote bcolor=”#dd3333″]Como la campaña del WannaCry la semana pasada, este ataque hace uso de las herramientas de hack robadas a la NSA y aprovecha una vulnerabilidad ya parchada en la red de Microsoft Windows (…) Para las organizaciones que están utilizando versiones anteriores de Windows que no han implementado el parche de la SMB (Server Message Block, donde está la vulnerabilidad) lanzado el mes pasado, sus PCs y servidores permanecerán vulnerables a este tipo de ataque (…) Dos grandes campañas han empleado ya las herramientas de hackeo y la vulnerabilidad; esperamos que otras sigan y recomendamos a las organizaciones e individuos parchar sus máquinas tan pronto como sea posible. Nota de ProofPoint[/quote]
Fuente: ProofPoint
