Varonis | Segurança de dentro para fora

Adylkuzz: Como o ransomware WannaCry alertou o mundo para ameaças piores

Escrito por Emilia Bertolli | Jun 23, 2017 12:24:00 PM

A variedade de ransomwares no seu ambiente é um indício que anuncia, rudemente, porém, felizmente, problemas maiores de segurança: ameaças internas e ataques cibernéticos que tiram vantagem do excesso de arquivos aos quais seus funcionários têm acesso. Por mais disruptivo que o ransomware WannaCry tenha sido para as organizações vulneráveis, a ameaça foi uma espécie de alerta sobre a chegada de tempos piores, incluindo ataques muito mais prejudiciais e que não anunciam sua chegada, como o minerador de criptomoedas Adylkuzz.

Pesquisadores da Proofpoint identificaram um ataque consideravelmente maior e mais danoso que o WannaCry, e que deve ter atrapalhado a difusão do ransomware no último mês. O Adylkuzz é um malware que usa os mesmos exploits designados pela NSA e que foram utilizados nos ataques do ransomware WannaCry, mas, em vez de se anunciar, permanece escondido enquanto instala um programa para minar criptomoeda que os hackers podem usar. Ainda mais interessante é o fato de que o Adylkuzz bloqueia a porta SMB para evitar outras infecções, como o WannaCry.

“Após infecção bem-sucedida pela backdoor EternalBlue, as máquinas são infectadas pela backdoor DoublePulsar, que baixa e roda o Adylkuzz de um outro host. Já rodando, o Adylkuzz primeiro para qualquer potencial estância de si mesmo em execução e bloqueia a comunicação da porta SMB para evitar outras infecções. A ameaça então determina o endereço público de IP da vítima e baixa as instruções de mineração, o cryptominer, e as ferramentas de limpeza”

O Adylkuzz tem mais de 20 hosts designados para escanear e lançar ataques, e mais de dez servidores de comando e controle (C&C) em qualquer momento. Apenas 20 minutos após conectar um computador com a vulnerabilidade conhecida à internet, a máquina estava infectada com o Adylkuzz.

Nesse caso, em vez de seus arquivos serem feitos de refém, seu poder de processamento é drenado e você começa a ceder Moneros. Mas nada disso se compara aos hackers que decidem jogar o jogo com a DoublePulsar e a EternalBlue, e examinam e exfiltram registros de pacientes, alunos, propriedade intelectual e e-mails comprometedores.

O ransomware WannaCry mudou o mundo e provou que os hackers vão encontrar maneiras de ultrapassar qualquer mecanismo de defesa do perímetro. A defesa em profundidade deve ser o foco. O valor da informação e dos sistemas que a armazenam é claro – poucas empresas podem funcionar quando seus dados estão inacessíveis – ninguém pode funcionar quando seus dados são roubados ou a reputação da empresa está destruída. Se você não solucionar as vulnerabilidades que cercam seus dados e seus sistemas, vai perder. É claro que você precisa aplicar patches, mas não é só isso – você precisa questionar suas linhas de defesa continuamente: e se as contas de seus usuários ou seus sistemas forem comprometidos? Quais dados essas contas podem acessar? Como você detectaria abusos? O que significaria para o negócio se esses dados fossem perdidos ou roubados?

Ninguém consegue se preparar para todos os cenários possíveis, mas as empresas precisam melhorar sua estratégia. Se uma empresa está com seus sistemas atualizados, restringe o acesso dos funcionários aos dados e sistemas, e monitora e emite alertas de atividades não usuais, deve também ser capaz de suportar esse e outros ataques.

A Varonis para ataques de ransomware por meio de três capacidades:

  • Redução do que as contas normais de usuários podem acessar (tirando privilégios de que não precisam)
  • Monitoramento de como os usuários usam os dados para identificar ataques, como o ransomware, em progresso
  • Bloqueio automático de contas infratoras

Saiba mais sobre como a Varonis pode ajudar a identificar e parar ataques de ransomware e outras ameaças.