O malware minerador de criptomoedas WannaMine, que segue um caminho similar ao ransomware WannaCry, já está fazendo vítimas no Brasil. De acordo com a Morphus Labs, o vírus é capaz de se movimentar lateralmente em uma rede corporativa utilizando técnicas de pass-the-hash ou exploração da vulnerabilidade EternalBlue (MS17–010) — este último foi o caminho explorado pelo ransomware que sequestrou mais de 300 mil computadores em 2017.

A dificuldade para rastrear o malware WannaMine é grande: por não criar arquivos no sistema invadido, os softwares antivírus têm dificuldade para encontrá-lo. Ao não criar arquivos, o WannaMine acaba sendo carregado diretamente na memória da máquina.

“A análise deste do malware e do vetor inicial de infecção estão em curso, mas os IOCs levantados até o momento pela equipe do Morphus Labs podem ajudá-lo a verificar a eventual existência de máquinas infectadas no seu ambiente bem como evitar a comunicação destas com os servidores de comando e controle e pools de mineração”, escreveu Renato Marinho, CRO da Morphus. “Endereços utilizados pelo malware para download do payload adequado a arquitetura do computador da vítima (32 ou 64 bits): hxxp://172.247.116.8:8000, hxxp://107.179.67.243:8000 e hxxp://118.184.48.95:8000”.

De acordo com Marinho, as recomendações para se proteger do WannaMine são as seguintes:
Verifique se o patch MS17–010, que corrige a vulnerabilidade do SMB conhecida por EternalBlue, foi aplicado em todos os servidores e estações da sua organização
Inclua neste levantamento estações de funcionários ou terceiros que se conectam ao ambiente por meio de VPN e que possam ter acesso a compartilhamentos Windows
Reveja a segmentação da rede de forma a minimizar as chances de uma eventual movimentação lateral entre, por exemplo, estações de diferentes departamentos ou unidades de negócio
Suspeite de estações ou servidores do seu ambiente que apresentem um consumo elevado de CPU durante longos períodos — a equipe do NOC/SOC deve estar atenta também a este indicador

Fonte: TecMundo

Responda