Apesar do ransomware WannaCry ter sido atenuado por um "kill switch", foi apenas uma questão de tempo para que outros cibercriminosos evoluíssem em seus métodos de ataque e táticas. Foram detectados um Trojan e o novo ransomware UIWIX (detectado pela Trend Micro como RANSOM_UIWIX.A).
O UIWIX não é o WannaCry
A análise da Trend Micro indica que o UIWIX é uma nova família que utiliza as mesmas vulnerabilidades de SMB (MS17-010, que leva o nome de EternalBlue como exposto na divulgação pública por Shadow Brokers) para infectar sistemas, se propagar dentro das redes e escanear pontos de Internet para infectar mais vítimas.
O que torna o UIWIX diferente?
Aparentemente o UIWIX não tem arquivos: o UIWIX se executa na memória depois de explorar o EternalBlue. Ao não ter arquivos executáveis, reduz enormemente seu rastro e, por sua vez, dificulta ainda mais sua detecção.
O UIWIX é uma ameaça que tem recursos que contornam a análise de sandbox. Se a ameaça identifica que será executada em uma máquina virtual ou sandbox, não realiza sua atividade maliciosa. Aparentemente tem rotinas capazes de recolher o acesso do navegador do sistema infectado, protocolo de transferência de arquivos (FTP), correio eletrônico e credenciais de messenger.
Existem mais códigos maliciosos usando o EternalBlue
Além de WannaCry e UIWIX, foi detectado um Trojan utilizando o EternalBlue-Adylkuzz (TROJ_COINMINER.WN). Esse malware converte os sistemas infectados em "zumbis" e rouba seus recursos com a finalidade de usá-los como criptomoeda Monero.
Como proteger-se