Proofpoint, uma empresa especializada em segurança cibernética anunciou a descoberta de um novo vírus de mineração que infectou mais de meio milhão de computadores usando o recurso EternalBlue. Anteriormente, a mesma vulnerabilidade, cujo trabalho é atribuído à Agência Nacional de Segurança dos EUA, foi utilizada pelo codificador WannaCry, de acordo com um relatório de especialistas.
Pesquisadores reportam a aparição de uma nova botnet Smominru (ou Ismo) que faz uso do recurso EternalBlue (CVE-2017-0144) em sistemas operacionais Windows para extrair Monero. Informações secretas a respeito da vulnerabilidade e do código executável foram publicadas pelo grupo de hackers The Shadow Brokers em 14 de abril de 2017.
De acordo com a Proofpoint, o Smominru infectou mais de 526 mil computadores – principalmente servidores que rodam o Windows sem as atualizações necessárias. A maioria dos sistemas infectados está localizada na Rússia, Índia e Taiwan.
“Usando os recursos de sistemas infectados, o botnet extrai cerca de 24 moedas por dia (US$8,5 mil). No total, ele já obteve 8,9 mil moedas – cerca de US$3,6 milhões “, afirma o relatório.
Foi observado também que a infra-estrutura do Smominru é construída com base no serviço de proteção contra ataques DdoS da SharkTech, cujos criadores foram notificados de uso indevido, mas, aparentemente, ignoraram a informação.
De acordo com pesquisadores, os hackers alocaram pelo menos 25 máquinas para escanear a Internet em busca de computadores vulneráveis, e também usam outro recurso “vazado” da NSA, o EsteemAudit (CVE-2017-0176) para infectar computadores.
“Uma vez que a produção de Bitcoin começou a exigir muitos recursos, o interesse no Monero aumentou significativamente. E, embora a moeda já não possa mais ser produzida em computadores domésticos, um botnet distribuído desse tipo pode ser muito lucrativa para seus proprietários”, concluíram os pesquisadores.
Vale ressaltar que outra empresa no campo da segurança cibernética, a CrowdStrike, publicou informações sobre outro minerador que utiliza o EternalBlue, o WannaMine – que também extrai Monero.
Devido ao fato de o WannaMine não baixar nenhum programa para computadores infectados, é bastante difícil rastreá-lo através de antivírus. Pesquisadores da CrowdStrike observam que o malware “interrompeu o trabalho de várias empresas por dias e semanas”.
É importante destacar que no ano passado, a Microsoft eliminou a vulnerabilidade EternalBlue através da série de atualizações MS17-010 e de patches lançados mesmo para sistemas operacionais não suportados oficialmente: Windows XP, Windows Vista e Windows Server 2003. Assim, atualmente, a principal proteção contra vírus semelhantes é a atualização de software.
Tendo em vista que a Microsoft confirmou que todas as versões do Windows foram afetadas pela vulnerabilidade, do Windows XP ao Windows Server 2016, faz sentido pensar que o recurso tem sido ignorado por pelo menos 16 anos.
O primeiro uso público foi registrado em 21 de abril de 2017, quando o software Doubledoor Backdoor, com base no código da NSA, atingiu mais de 200 mil computadores em poucos dias. Em 12 de maio de 2017, um codificador chamado WannaCry usou EternalBlue e o código DoublePulsar e atingiu dezenas de milhares de computadores na Internet.
Chrys é fundadora e escritora ativa do BTCSoul. Desde que ouviu falar sobre Bitcoin e criptomoedas ela não parou mais de descobrir novidades. Atualmente ela se dedica para trazer o melhor conteúdo sobre as tecnologias disruptivas para o website.
Últimos Tweets