EternalRocks, UIWIX sau Adylkuzz: noi campanii ce continuă exploatarea aceleiași vulnerabilități ca WannaCry

2017/05/23
Popularitate 1116

Foto:

Conform informațiilor deținute de CERT-RO, campania ransomware WannaCry este urmată de multiple atacuri bazate pe exploatarea aceleiași vulnerabilități de Windows SMBv1, cunoscută ca EternalBlue (CVE-2017-0145), dar care au comportamente diferite post-exploatare.

Cele mai importante amenințări cibernetice observate în ultimele zile, care exploatează aceeași vulnerabilitate ca WannaCry, sunt cunoscute sub denumirile de EternalRocks (sau BlueDoom), UIWIX și Adylkuzz.

Descriere

EternalRocks este un vierme informatic care, pe lângă EternalBlue, utilizează și alte unelte de exploatare dintre cele făcute publice de grupul Shadow Brokers, cunoscute cu numele de cod Architouch, Doublepulsar, Eternalchampion, Eternalromance, Eternalsynergy și Smbtouch.

Spre deosebire de WannaCry, EternalRocks nu dispune de un „kill switch” (buton de oprire) și descarcă pe mașina compromisă module software destinate comunicării prin rețeaua Tor. Astfel, toate conexiunile ulterioare cu serverele de comandă și control (C2) se realizează prin intermediul unor conexiuni Tor criptate. După ce realizează conexiunea cu serverul de comandă și control, descarcă și instalează noi module software al căror scop exact este încă necunoscut.

UIWIX este un ransomware care exploatează aceeași vulnerabilitate SMB ca și WannaCry, însă se deosebește prin faptul că se manifestă doar în memoria RAM și nu scrie fișiere pe hard disk, încercând astfel să fie mai greu de detectat și de analizat. De asemenea, utilizează tehnici anti-analiză prin care încearcă să detecteze dacă rulează într-o mașină virtuală sau într-un sandbox.

Adylkuzz este un malware al cărui scop este crearea de monedă virtuală (Monero crypto-currency). Acesta ajunge pe mașinile cu sistem de operare Windows prin exploatarea aceleiași vulnerabilități ca WannaCry (EternalBlue), însă după exploatare descarcă un alt modul care rămâne silențios și consumă resursele de procesare pentru „minare”. Mai mult, acest malware previne exploatarea ulterioară cu WannaCry pentru a obține exclusivitate pe mașinile compromise.

Remediere

Pentru contracararea acestor amenințări, CERT-RO recomandă tuturor utilizatorilor de sisteme de operare Windows să întreprindă următoarele măsuri:

  1. Realizarea de copii de siguranță periodice (backup);
  2. Aplicarea patch-ului de securitate MS17-010:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx;

  1. Microsoft a publicat actualizări de securitate inclusiv pentru sistemele de operare care nu mai beneficiază de suport, precum Windows XP:

https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/;

  1. Utilizarea unui antivirus/anti-malware eficient și actualizat;
  2. Segmentarea rețelei și implementarea unor reguli de firewall care să blocheze traficul de rețea inutil (spre exemplu porturile SMB: 139, 445);
  3. Manifestarea unei atenții sporite la deschiderea fișierelor și link-urilor provenite din surse necunoscute/incerte, mai ales cele din mesajele email;
  4. Implementarea măsurilor cuprinse în „Ghidul privind combaterea amenințărilor informatice de tip ransomware”, disponibil la adresa:
    https://cert.ro/vezi/document/ghid-protectie-ransomware.