El viernes pasado, el ransomware llamado WannaCry usó herramientas de hackeo  robadas de la NSA (National Security Agency) para atacar a más de 200.000 computadoras en 150 países. El lunes, los investigadores dijeron que el mismo kit de ataque de grado militar fue utilizado en un hackeo mucho más antigo y posiblemente a mayor escala que hizo que las computadoras infectadas formaran parte de una botnet que minaba la criptomonedas.

Al igual que con WannaCry, este ataque usó una vulnerabilidad denominada EternalBlue y una puerta trasera llamada DoublePulsar, ambas herramientas de hacking desarrolladas por la NSA que se filtraron a mediados de abril por un grupo que se llamaba Shadow Brokers, en abril pasado. Pero en lugar de instalar ransomware, el objetivo de este trojano fue la minería de criptomonedas, este nuevo virus es conocido como Adylkuzz.

Los síntomas de este trojano incluyen la pérdida de acceso a los recursos compartidos de la red y la degradación del rendimiento del PC y del servidor. Varias grandes organizaciones han reportado este tipo de problemas de red, que originalmente fueron atribuidos a la campaña de WannaCry. Sin embargo, debido a la falta de avisos del rescate que caracterizan al ransomware, ahora se sabe que estos problemas podrían estar asociados con la actividad de Adylkuzz.

Cabe señalar que la propagación de Adylkuzz es anterior al ataque de WannaCry, comenzando por lo menos el 2 de mayo o incluso tan tempano como el 24 de abril. Este ataque es continuo y, aunque es menos llamativo que WannaCry, es potencialmente disruptivo.

El trojano actúa de la siguiente manera: existen varios servidores privados virtuales que exploran masivamente Internet en el puerto TCP 445 en busca de posibles objetivos.

Tras una explotación exitosa a través de EternalBlue, las máquinas quedan infectadas con DoublePulsar. La puerta trasera DoublePulsar luego descarga y ejecuta Adylkuzz desde otro servidor en Internet. Una vez que se está ejecutando, Adylkuzz primero detendrá cualquier posible instancia de sí mismo que ya este siendo ejecutando (es decir trata de matar posibles trojanos que compitan con él) y bloquea la comunicación SMB para evitar otras posibles infecciones a través de la misma vulnerabilidad. A continuación, determina la dirección IP pública de la víctima y descarga las herramientas necesarias para hacer la minería de la criptomoneda y además herramientas de limpieza, para borrar su reastro.

La criptomoneda que está minando Adylkuzz es el Monero, que es similar al bitcoin pero con mejoradas capacidades de anonimidad. Y de acuerdo a los investigadores que han hecho público esta nueva amenaza ya lleva recaudado más de $43,000.

En cuánto tenga más información sobre esta nueva amenaza actualizaré este post.