Desde la semana pasada se han venido presentando ataques en todo el mundo con el ransomware conocido como WannaCry, pero todo parece indicar que esa no es la única consecuencia del robo de la EternalBlue por parte de los hackers. Según la firma de ciberseguridad ProofPoint, otro tipo de malware ha aprovechado la misma vulnerabilidad en Windows para minar Monero en cientos de miles de computadoras en todo el mundo.
Se trata del botnet denominado Adylkuzz, que es capaz de ejecutar el algoritmo CryptoNight en los computadores sin la autorización de sus dueños, e inclusive sin que estos lleguen a darse cuenta a simple vista. Y si bien tal algoritmo es utilizado para minar varias criptomonedas de forma mucho más simple que la minería en Bitcoin, en el ataque descrito por la firma de seguridad se ha determinado que los hackers han preferido minar Monero. Algo no muy sorprendente si tomamos en cuenta que la principal característica de esta criptomoneda es la opacidad de su blockchain, lo que permite ocultar los fondos de forma más sencilla.
El descubrimiento fue realizado mientras los expertos utilizaban una computadora de laboratorio vulnerable a ataques por EternalBlue, el arma cibernética que se ha utilizado para el WannaCry y que aprovecha una vulnerabilidad en Windows que apenas se parchó en marzo. Pero, inesperadamente, la PC no fue infectada por el WannaCry sino por el Adylkuzz proveniente de varios servidores privados que han estado escaneando la red de forma masiva –tal como el Mirai– en busca de dispositivos vulnerables.
En este ataque, además, se utiliza otra arma cibernética robada a la NSA, la DoublePulsar, que tras aprovechar la EternalBlue es la encargada de instalar el minero. Este, a su vez, lo primero que hace es parchar la vulnerabilidad en Windows para evitar otras infecciones que puedan impedirle dedicarse a la minería, como ocurriría en caso de que el WannaCry infectase el computador.
Los síntomas de este ataque no son tan evidentes como el ransomware, y es precisamente por ello que en ProofPoint lo consideran más peligroso. Las víctimas sólo sufren de lentitud en sus sistemas y son incapaces de acceder a los recursos compartidos de Windows. Otro factor alarmante de este malware es que es probable que haya venido aprovechando la EternalBlue desde incluso antes que el WannaCry, así que la campaña probablemente comenzó el 24 de abril. Debido a ello, y a que no se requiere de la decisión de la víctima para cobrar —a diferencia del ransomware—, es posible que el Adylkuzz haya reunido hasta la fecha más de un millón de dólares en Monero, cifra que supera a lo recaudado por el WannaCry hasta la fecha.
Como advertencia y recomendación sobre este ataque, ProofPoint comentó:
Como la campaña del WannaCry la semana pasada, este ataque hace uso de las herramientas de hack robadas a la NSA y aprovecha una vulnerabilidad ya parchada en la red de Microsoft Windows (…) Para las organizaciones que están utilizando versiones anteriores de Windows que no han implementado el parche de la SMB (Server Message Block, donde está la vulnerabilidad) lanzado el mes pasado, sus PCs y servidores permanecerán vulnerables a este tipo de ataque (…) Dos grandes campañas han empleado ya las herramientas de hackeo y la vulnerabilidad; esperamos que otras sigan y recomendamos a las organizaciones e individuos parchar sus máquinas tan pronto como sea posible.
ProofPoint
Por su parte, Ryan Kalember, ejecutivo de la compañía, afirmó que, debido a las similitudes con ataques anteriores, es probable que tanto el WannaCry como el Adylkuzz provengan del grupo de hackers Lazarus Group, asociado a Corea del Norte. Sin embargo, esto de momento sólo se trata de una suposición, si bien asimismo considerada por otras firmas, como Kaspersky Labs.
Desgraciadamente, todo indica que en lo próximo estos ataques seguirán multiplicándose por todo el globo. Por ello, lo mejor que pueden hacer los usuarios de Windows es actualizar sus sistemas a la prontitud.
