Noticias
Adylkuzz, el malware se se usó como test de WannaCry
Cuando todavía no se han apagado los ecos de los ataques provocados por el ransomware WannaCry, que entre otras empresas afectó a Telefónica e incluso se cebó con la red del Sistema Nacional de Salud de Reino Unido, la firma de seguridad Proofpoint ha alertado en su blog de un nuevo malware que aprovecha la misma vulnerabilidad, se denomina Adylkuzz y su finalidad es utilizar los equipos que caen víctimas de su ataque para minar una criptomoneda llamada Monero.
Según el analista de Proofpoint Kafeine, este ataque es anterior al de WannaCry, pero ha pasado prácticamente desapercibido por sus efectos, que cifran el contenido del equipo, solicitando un rescate a cambio de la clave que permite descifrarlos. Al parecer, las primeras muestras de su actividad se remontan al 2 de mayo, e incluso podrían haber comenzado antes, el 24 de abril. Y es muy posible que se trate de un ataque de mayor envergadura y alcance que el de WannaCry, que se estima que ha afectado a unos 200.000 ordenadores en más de 150 países.
Como WannaCry, este ataque utiliza para actuar el exploit conocido como Eternal Blue y la puerta trasera DoublePulsar. Ambas herramientas de hackeo fueron desarrolladas por la NSA y liberadas online por un grupo que se hace llamar ShadowBrokers.
Según Kafeine, los efectos de Adylkuzz han sido particularmente eficaces en las redes que aún no habían instalado las actualizaciones que Microsoft lanzó para parchear las vulnerabilidades críticas, a finales de marzo. Los equipos infectados en apenas 20 minutos ya pasan a formar parte de una botnet de minado de criptomoneda.
Lo primero que hace este malware para actuar en un equipo es infectar con Double Pulsar los ordenadores a través de Eternal Blue. Entonces, este backdoor descarga y ejecuta automáticamente Adylkuzz. Una vez hecho esto, el malware detendrá cualquier instancia suya que haya en ejecución, lo que dificulta su detección, además de bloquear determinadas comunicaciones para evitar una infección mayor.
A continuación detecta la dirección IP del equipo infectado y descarga las instrucciones de minado, el programa encargado de hacerlo y varias herramientas de limpieza. Desde entonces, uno de los servidores encargados de dar las órdenes a los ordenadores afectados y de controlar su funcionamiento (en Proofnet han encontrado más de 20), se encarga de todo.
Cómo se entera el usuario afectado
Los usuarios notarán que pasan cosas extrañas en su equipo. Para empezar, el ordenador afectado perderá acceso a los recursos de red y el sistema funcionará más lento y peor. Según Kafeine, muchos de los afectados pensaron que habían sido atacados por WannaCry cuando en realidad lo estaban por Adylkuzz. Y que puede que gracias a este, que como hemos visto se encarga de bloquear ciertos recursos de red para evitar más infecciones, WannaCry no se haya extendido tanto.
Segun ha declarado Alfonso Franco, CEO de All4Sec, sobre este ataque, «realmente el ataque Adylkuzz es anterior a WannaCry y funciona de forma “parecida”, pero algo más inteligente, ya que lo que hace además de contaminar la red es evitar que otros malware (incluido WannaCry) puedan anticiparse e infectar ellos mismos los equipos«. Franco ha señalado también que «lamentablemente es algo que parece que va a suceder mucho en estos días, porque el exploit relativo a la vulnerabilidad Eternal Blue se hizo público el 9 de mayo y eso va a permitir que aparezcan mucho imitadores«. Para él, «WannaCry ha sido solo un test para probar el impacto y ver lo que podía pasar. Incluso me atrevería a decir que posiblemente lo lanzaron o ‘se les escapó’ antes de tiempo. Lo que pueda venir ahora, que han probado que la combinación “ransomware + Worm “ es totalmente rentable, es como para preocuparse«.
Por otra parte, Steve Grobman, CTO de McAfee, ha querido explicar algunas cuestiones relacionadas con la aparición de esta nueva amenaza: “WannaCry y Adylkuzz son los últimos ejemplos de cómo el análisis de riesgo de ‘parchear o no parchear’ debe ser una cuestión replanteada dentro de las organizaciones de todo el mundo. Las empresas nunca deberían llegar a la conclusión de que la ausencia de un gran ciberataque es sinónimo de una defensa efectiva. Wannacry y Adylkuzz han confirmado la importancia que tienen los parches o actualizaciones de seguridad en la construcción y mantenimiento de las defensas efectivas, y por qué la planificación de parches para mitigar las vulnerabilidades del entorno deben convertirse en una prioridad”.
“Siempre que haya un parche que deba ser aplicado, existe un riesgo asociado, tanto si lo aplicamos como si no. Los responsables IT necesitan entender cuáles son esos niveles de riesgo y luego tomar la decisión que minimice el peligro para su propia organización. El hecho de que haya compañías que, sin haber aplicado parches de seguridad, no han sufrido ningún ataque que pueda aprovechar estas vulnerabilidades, genera la percepción de que está bien retrasar la aplicación de estos parches”.
“Una de las principales diferencias entre Adylkuzz y WannaCry es que Adylkuzz puede permanecer un tiempo sin ser detectado y seguir actuando siempre y cuando sea posible maximizar la cantidad de tiempo que una máquina es usada para data mining. Sin duda, esto es un aliciente para que los cibercriminales de Adylkuzz causen daños mínimos mientras pasan desapercibidos, mientras que WannaCry alerta al usuario que se ha producido una vulneración y provoca la destrucción masiva de los datos de una plataforma”.
Cómo asegurarse de que se puede restaurar una copia de seguridad
Commvault compra Appranix para impulsar la ciberresiliencia de las empresas
Intel Foundry sube de nivel con la litografía ultravioleta extrema de alta apertura numérica
Salesforce lleva la IA de Slack a todos los planes de pago de la plataforma
Marta Piedrafita Baudín será la Country Manager para Iberia de osapiens
Meta anuncia un nuevo producto Quest para las aulas
Dynatrace Carbon Impact, solución para reducir la huella de carbono en la empresa
Cómo la tecnología mejora el día a día en un quirófano
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
NTT DATA acelera la implementación del 5G ORAN usando la tecnología de Red Hat
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
¿Más datos significa más riesgo?
Cómo asegurarse de que se puede restaurar una copia de seguridad
Big Data y Business Analytics: la formación que llevará a las empresas al próximo nivel tecnológico
Cómo puede ayudar la IA a las empresas a adaptarse a la nueva Ley de Atención al Cliente
Día Internacional del Centro de Datos: del mainframe al espacio
OVHcloud pone en marcha su ordenador cuántico y amplía su cartera de servicios de nube pública
Dell niega las promociones a los trabajadores remotos
-
NoticiasHace 7 díasCorsair presenta nuevas memorias WS DDR5 RDIMM ECC para estaciones de trabajo
-
NoticiasHace 7 díasInternet Archive hace una copia de seguridad de una isla caribeña al completo
-
NoticiasHace 7 díasPilar Roch, nueva Directora general de AMETIC
-
NoticiasHace 7 díasMistral anuncia el Mixtral 8x22B, un nuevo modelo para competir con OpenAI, Google y Meta