Instalam cryptominers: ataques do BlueKeep iniciaram, mas inicialmente abaixo do esperado

Instalam cryptominers: ataques do BlueKeep iniciaram, mas inicialmente abaixo do esperado

4 de novembro de 2019 0 Por Suporte Rede Digital

Os primeiros ataques que exploram a vulnerabilidade do dia zero do Windows instalam cryptominers e procuram alvos em vez de um worm com potencial WannaCry.

A onda de ataques do BlueKeep que os especialistas em segurança previram que poderia derrubar os sistemas globalmente chegou, mas eles não estão mostrando a forma nem o impacto destrutivo que os especialistas inicialmente temiam.

Pesquisadores de segurança viram evidências da primeira onda de ataques à vulnerabilidade da Área de Trabalho Remota do Windows de dia zero revelada pela Microsoft em maio. Na época, especialistas disseram que o BlueKeep representava uma ameaça para milhões de sistemas conectados à Internet, com a capacidade de espalhar um worm automatizado de computador para computador, incluindo quase 1 milhão de terminais conectados à Internet das Coisas (IoT).

Até agora, o BlueKeep não cumpriu essa promessa, nem a vulnerabilidade apareceu na forma de um worm. Em vez disso, os ataques iniciais instalam um minerador de criptomoeda em um sistema infectado, usando o poder de processamento para gerar criptomoeda, de acordo com relatórios.

Além disso, em vez de um worm que se move automaticamente e se espalha rapidamente, os invasores aproveitaram a capacidade conectiva da vulnerabilidade de varrer a Internet em busca de máquinas vulneráveis, disseram os pesquisadores.

O especialista britânico em segurança cibernética Kevin Beaumont twittou sobre a primeira onda de ataques no domingo depois de notar que uma série de honeypots de protocolo RDP (Remote Desktop Protocol – RDP) – ou máquinas configuradas como isca de malware para ajudar os pesquisadores a detectar e analisar surtos – começaram a falhar simultaneamente.

Beaumont alertou o pesquisador de segurança da Kryptos Logic, Marcus Hutchins, que analisou o “despejo de memória” e verificou a atividade do BlueKeep. “Depois de algumas investigações eu encontrei artefatos BlueKeep na memória e shellcode para soltar um Monero Miner”, Hutchins, que assume a MalwareTech nome de usuário, Tweeted .

Hutchins é conhecido como o pesquisador que finalmente encontrou o caminho para matar o surto de ransomware WannaCry 2017, que infectou mais de 200.000 máquinas em 150 países, causou bilhões de dólares em danos e prejudicou os negócios globais. Mais tarde, ele se declarou culpado de acusações relacionadas à criação do malware Kronos.

Os pesquisadores revelaram o BlueKeep e seu poder potencialmente catastrófico pela primeira vez em maio, depois que a Microsoft o corrigiu como parte de sua atualização do Patch Tuesday daquele mês. A vulnerabilidade foi identificada como uma falha crítica na execução remota de código nos Serviços de Área de Trabalho Remota, afetando as versões mais antigas do Windows, incluindo Windows 7, Windows XP, Server 2003 e Server 2008.

A Microsoft emitiu um aviso severo aos usuários para corrigir sistemas vulneráveis ​​na época, observando o potencial do BlueKeep de causar tanto estrago quanto o WannaCry.

De fato, várias explorações de prova de conceito seguiram a descoberta da vulnerabilidade, uma mostrando um cenário do dia do juízo final no qual um invasor assumiu o controle completo da máquina de alguém em apenas 22 segundos.

Outras explorações se seguiram, incluindo uma desenvolvida pelo Departamento de Segurança Nacional que aproveitou a vulnerabilidade em uma máquina Windows 2000 – uma versão do sistema operacional não incluída no alerta original da Microsoft.

Felizmente, os primeiros ataques que exploram o BlueKeep não mostram o potencial destrutivo da vulnerabilidade – mas isso não significa que os administradores de segurança ainda possam descansar. Esse desempenho inicial sem brilho pode representar mais a falta de sofisticação dos hackers do que a natureza da própria vulnerabilidade, observaram os observadores.

“Sinto muito pelos autores do malware #bluekeep : imagine se o uso de criptografia fosse a melhor coisa que você poderia imaginar”, um funcionário da equipe de resposta a emergências de computadores (CERT) em uma instituição financeira pública chamada James Attack Tweeted , juntamente com um meme de músico de celebridade Taylor Swift gesticulando a letra “L” na testa em busca de “perdedor”.

De fato, como os pesquisadores de segurança já demonstraram o potencial do BlueKeep, é apenas uma questão de tempo até que alguém com más intenções decifre o código e explore a vulnerabilidade em todo o seu potencial agora que as comportas dos ataques estão abertas.