Conecta con nosotros

Noticias

Adylkuzz, el malware se se usó como test de WannaCry

Publicado el

Adylkuzz

Cuando todavía no se han apagado los ecos de los ataques provocados por el ransomware WannaCry, que entre otras empresas afectó a Telefónica e incluso se cebó con la red del Sistema Nacional de Salud de Reino Unido, la firma de seguridad Proofpoint ha alertado en su blog de un nuevo malware que aprovecha la misma vulnerabilidad, se denomina Adylkuzz y su finalidad es utilizar los equipos que caen víctimas de su ataque para minar una criptomoneda llamada Monero.

Según el analista de Proofpoint Kafeine, este ataque es anterior al de WannaCry, pero ha pasado prácticamente desapercibido por sus efectos, que cifran el contenido del equipo, solicitando un rescate a cambio de la clave que permite descifrarlos. Al parecer, las primeras muestras de su actividad se remontan al 2 de mayo, e incluso podrían haber comenzado antes, el 24 de abril. Y es muy posible que se trate de un ataque de mayor envergadura y alcance que el de WannaCry, que se estima que ha afectado a unos 200.000 ordenadores en más de 150 países.

Como WannaCry, este ataque utiliza para actuar el exploit conocido como Eternal Blue y la puerta trasera DoublePulsar. Ambas herramientas de hackeo fueron desarrolladas por la NSA y liberadas online por un grupo que se hace llamar ShadowBrokers.

Según Kafeine, los efectos de Adylkuzz han sido particularmente eficaces en las redes que aún no habían instalado las actualizaciones que Microsoft lanzó para parchear las vulnerabilidades críticas, a finales de marzo. Los equipos infectados en apenas 20 minutos ya pasan a formar parte de una botnet de minado de criptomoneda.

Lo primero que hace este malware para actuar en un equipo es infectar con Double Pulsar los ordenadores a través de Eternal Blue. Entonces, este backdoor descarga y ejecuta automáticamente Adylkuzz. Una vez hecho esto, el malware detendrá cualquier instancia suya que haya en ejecución, lo que dificulta su detección, además de bloquear determinadas comunicaciones para evitar una infección mayor.

A continuación detecta la dirección IP del equipo infectado y descarga las instrucciones de minado, el programa encargado de hacerlo y varias herramientas de limpieza. Desde entonces, uno de los servidores encargados de dar las órdenes a los ordenadores afectados y de controlar su funcionamiento (en Proofnet han encontrado más de 20), se encarga de todo.

Cómo se entera el usuario afectado

Los usuarios notarán que pasan cosas extrañas en su equipo. Para empezar, el ordenador afectado perderá acceso a los recursos de red y el sistema funcionará más lento y peor. Según Kafeine, muchos de los afectados pensaron que habían sido atacados por WannaCry cuando en realidad lo estaban por Adylkuzz. Y que puede que gracias a este, que como hemos visto se encarga de bloquear ciertos recursos de red para evitar más infecciones, WannaCry no se haya extendido tanto.

Segun ha declarado Alfonso Franco, CEO de All4Sec, sobre este ataque, «realmente el ataque Adylkuzz es anterior a WannaCry y funciona de forma “parecida”, pero algo más inteligente, ya que lo que hace además de contaminar la red es evitar que otros malware (incluido WannaCry) puedan anticiparse e infectar ellos mismos los equipos«. Franco ha señalado también que «lamentablemente es algo que parece que va a suceder mucho en estos días, porque el exploit relativo a la vulnerabilidad  Eternal Blue se hizo público el 9 de mayo y eso va a permitir que aparezcan mucho imitadores«. Para él, «WannaCry ha sido solo un test para probar el impacto y ver lo que podía pasar. Incluso me atrevería a decir que posiblemente lo lanzaron o ‘se les escapó’ antes de tiempo. Lo que pueda venir ahora, que han probado que la combinación “ransomware + Worm “ es totalmente rentable, es como para preocuparse«.

Por otra parte, Steve Grobman, CTO de McAfee, ha querido explicar algunas cuestiones relacionadas con la aparición de esta nueva amenaza: WannaCry y Adylkuzz son los últimos ejemplos de cómo el análisis de riesgo de ‘parchear o no parchear’ debe ser una cuestión replanteada dentro de las organizaciones de todo el mundo. Las empresas nunca deberían llegar a la conclusión de que la ausencia de un gran ciberataque es sinónimo de una defensa efectiva. Wannacry y Adylkuzz han confirmado la importancia que tienen los parches o actualizaciones de seguridad en la construcción y mantenimiento de las defensas efectivas, y por qué la planificación de parches para mitigar las vulnerabilidades del entorno deben convertirse en una prioridad”.

Siempre que haya un parche que deba ser aplicado, existe un riesgo asociado, tanto si lo aplicamos como si no. Los responsables IT necesitan entender cuáles son esos niveles de riesgo y luego tomar la decisión que minimice el peligro para su propia organización.  El hecho de que haya compañías que, sin haber aplicado parches de seguridad, no han sufrido ningún ataque que pueda aprovechar estas vulnerabilidades, genera la percepción de que está bien retrasar la aplicación de estos parches”.

Una de las principales diferencias entre Adylkuzz y WannaCry es que Adylkuzz puede permanecer un tiempo sin ser detectado y seguir actuando siempre y cuando sea posible maximizar la cantidad de tiempo que una máquina es usada para data mining. Sin duda, esto es un aliciente para que los cibercriminales de Adylkuzz causen daños mínimos mientras pasan desapercibidos, mientras que WannaCry alerta al usuario que se ha producido una vulneración y provoca la destrucción masiva de los datos de una plataforma”.

Lo más leído