Cabecera-v2-web.jpg

Los exploits de la NSA que aprovechó WannaCrypt ya se usaron antes y a mayor escala


map_wannacrypt.jpg


El pasado viernes, el ransomware WannaCrypt empezaba a hacer estragos atacando la red interna de Telefónica, para después expandirse por todo el mundo, afectando a unos 200.000 ordenadores en 150 paí­ses. Según se informa en Ars Technica, el exploit usado para aprovecharse del fallo que descubrió la NSA originalmente se habrí­a utilizado antes para crear una botnet para minar criptomonedas.

Esto se habrí­a descubierto en una investigación, conducida por los investigadores de Proofpoint.Para uno de ellos (Kafeine), esta campaña habrí­a empezado entre el 24 de abril y el 2 de mayo de 2017, logrando ser muy efectiva y comprometiendo ordenadores conectados a Internet que no habí­an instalado la actualización de seguridad del mes de Marzo para parchear vulnerabilidades crí­ticas.

Algunos sí­ntomas del ataque incluyen una pérdida de acceso a recursos en red y un descenso en el rendimiento del sistema. El investigador de Proofpoint comentaba que algunas personas, que pensaban que sus sistemas se habí­an visto comprometidos por WannaCrypt, en realidad habí­an sido atacadas por este otro malware, llamado Adylkuzz.

Kafeine también comentó que este ataque, que habí­a sido pasado por alto, podí­a haber limitado el alcance de WannaCry cerrando la red SMB para evitar que las máquinas comprometidas cayesen en manos de botnets.

Los investigadores han identificado más de 20 anfitriones configurados para escanear Internet e infectar máquinas vulnerables que encuentran en sus búsquedas. Hay al menos más de una docena de servidores de control de Adylkuzz, que se emplea para extraer la moneda Monero.

Según el medio, un investigador de seguridad que trabaja para Google encontró en WannaCrypt huellas digitales que lo relacionan con Lazarus Group, que conduce una operación que supuestamente viene de Corea del Norte.

Como ya dijimos en un artí­culo anterior, conforme pasan los dí­as y vamos conociendo más detalles sobre la información y lo que rodea a WannaCrypt y a los exploits robados por The Shadow Brokers, la cosa se pone cada vez más interesante. Veremos dónde acaba todo esto, aunque parece que todaví­a quedan cosas por conocer.


Fuente: genbeta.com

pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11