Semanas antes de WannaCry, una botnet de minería o «monero» Cryptocurrency estuvo usando el exploit sobre windows SMB.
Investigadores de seguridad han descubierto un malware de minería de monedas o «cryptocurrency-mining», que estuvo usando la vulnerabilidad de Windows SMB dos semanas antes del ataque del ransomware WannaCry.
De acuerdo a Kafeine, un grupo de investigadores de Proofpoint, otro grupo de cibercriminales estuvo usando el mismo Exploit EternalBlue, creado por la NSA y descargado por TheShadowBrokers el mes pasado, para infectar cientos de miles de computadoras sin parches en todo el mundo, con un malware de minería de monedas digitales o Cryptocurrency mining llamado «Adylkuzz».
Esta campaña maliciosa, a diferencia de WannaCry, no infectaba las computadoras con ransomware, ni alertaba a los usuarios de la infección, por el contrario infectaba de manera silenciosa las computadoras sin parches con un malware que genera hacia minería de cryptocurrency, un tipo de bitcoin.
Este malware protegía a las computadoras de ser hackeadas por WannaCry
Los investigadores creen que el malware Adylkuzz, pudo ser mayor en escala que el ransomware WannaCry debido a que una vez infectada la máquina bloqueaba el puerto SMB.
En otras palabras, infectaba las maquinas sin parche bloqueando el puerto SMB evitando futuras infecciones por esta vulnerabilidad. Lo que de manera indirecta, salvó a cientos de miles de computadoras de ser afectadas por el ransomware WannaCry.
La minería de Cryptocurrency puede resultar una inversión muy costosa y requiere el uso de grandes recursos y poder de computadoras para generar cryptocurrency o monero, sin embargo, Adylkuzz hizo esta tarea sencilla para los cibercriminales, permitiendo hacer uso de los recursos de las computadoras infectadas generando muchos dólares.
De acuerdo a Proofpoint, decenas de miles de computadoras en todo el mundo fueron infectadas por el malware Adylkuzz.
Teoría conspirativa
Estas evidencias en el uso del Exploit EternalBlue, dejan al descubierto el manejo que hay en la deepweb de las organizaciones cibercriminales, ¿se trató de un acuerdo entre grupos para que cada quien tomara su tajada del Exploit EternalBlue? ¿acaso fue una carrera contra el tiempo para ver quien sacaba mejor provecho de esta vulnerabilidad y el exploit? lo que queda claro, es que este grupo que infecto con Adylkuzz quería apartar para sí un gran mercado de equipos infectados para sus propios propósitos, sin saber o sabiendo que los protegían de una amenaza destructiva como WannaCry, convirtiéndose Adylkuzz en un héroe anónimo. ¿Qué pasará mañana? no lo sabemos, pero lo seguro es que EternalBlue aun tiene campo para generar caos a los usuarios y ganancias a los cibercriminales.
En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a este tipo de amenazas, definiendo procesos efectivos que gestionen las vulnerabilidades y aplicando controles innovadores, estos son los principales retos a atender todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.
Jesús Dubront, CISM Director ADV Integradores y consultores jesus.dubront@adv-ic.com | @jdubront | www.adv-ic.com | @adv_ic | Linkedin: ADV Integradores y consultores | Facebook:ADV Integradores y consultores
Blog Ciberseguridad ADV integradores y consultores 