<img height="1" width="1" src="https://www.facebook.com/tr?id=1902477713099717&amp;ev=PageView &amp;noscript=1">
Tempo de leitura 2min
Trend Micro
19 mai 2017

Novo alerta de ataque de Ransomware - UIWIX e malware Monero-Mining

[05 17] Novo Alerta de Ataque de Ransomware.jpg

Apesar do ransomware WannaCry ter sido atenuado por um "kill switch", foi apenas uma questão de tempo para que outros cibercriminosos evoluíssem em seus métodos de ataque e táticas. Foram detectados um Trojan e o novo ransomware UIWIX (detectado pela Trend Micro como RANSOM_UIWIX.A).

 

O UIWIX não é o WannaCry

A análise da Trend Micro indica que  o UIWIX é uma nova família que utiliza as mesmas vulnerabilidades de SMB (MS17-010, que leva o nome de EternalBlue como exposto na divulgação pública por Shadow Brokers) para infectar sistemas, se propagar dentro das redes e escanear pontos de Internet para infectar mais vítimas.

 

O que torna o UIWIX diferente? 

Aparentemente o UIWIX não tem arquivos: o UIWIX se executa na memória depois de explorar o EternalBlue. Ao não ter arquivos executáveis, reduz enormemente seu rastro e, por sua vez, dificulta ainda mais sua detecção.

O UIWIX é uma ameaça que tem recursos que contornam a análise de sandbox. Se a ameaça identifica que será executada em uma máquina virtual ou sandbox, não realiza sua atividade maliciosa. Aparentemente tem rotinas capazes de recolher o acesso do navegador do sistema infectado, protocolo de transferência de arquivos (FTP), correio eletrônico e credenciais de messenger.


Existem mais códigos maliciosos usando o EternalBlue

Além de WannaCry e UIWIX, foi detectado um Trojan utilizando o EternalBlue-Adylkuzz (TROJ_COINMINER.WN). Esse malware converte os sistemas infectados em "zumbis" e rouba seus recursos com a finalidade de usá-los como criptomoeda Monero.


Como proteger-se

  • Aplicar patches e atualizar os sistemas. É vital considerar o uso de patches virtuais;
  • Habilitar firewalls, assim como os sistemas de detecção e prevenção de intrusões;
  • Monitorar proativamente os tráfegos de entrada e saída da rede;
  • Implementar mecanismos de segurança para outros pontos de entrada que os atacantes possam usar, como o correio eletrônico e websites;
  • Implementar o controle de aplicativos para evitar que os arquivos suspeitos sejam executados e possam identificar modificações não identificadas no sistema;
  •  Use a categorização de dados e segmentação de rede para mitigar os dados de exposição e lesões adicionais.

 

New call-to-action

    Populares

    Nova call to action

    Inscreva-se e receba mais conteúdos como este!