Segurança

Trend Micro afirma: O UIWIX não é o WannaCry

Tido como o próximo grande ciberataque, o ransomware é capaz de se autofinalizar caso detecte a presença de sandbox

Salvador, 18/05/2017 - Segundo a Trend Micro, ao contrário do que foi noticiado recentemente, citando o ransomware UIWIX como uma nova - e evoluída - versão do WannaCry, a análise indica que a ameaça é uma nova família que utiliza as mesmas vulnerabilidades do Server Message Block (SMB) para propagar-se dentro das redes e escanear a internet para infectar mais vítimas.

Diferenciais do UIWIX

Em que ponto o UIWIX é diferente? Ele parece não conter arquivos. O UIWIX é executado na memória depois de explorar o MS17-010 (código nomeado EternalBlue após sua divulgação pública pela Shadow Brokers). As infecções sem arquivo não incluem a gravação de arquivos/componentes reais no disco rígido do computador, o que reduz bastante o seu rastro e, por sua vez, dificulta sua detecção.

O UIWIX também é mais dissimulado, optando por se auto finalizar caso detecte a presença de uma máquina virtual (VM) ou sandbox. Com base na sequência de caracteres do UIWIX, ele parece ter rotinas capazes de reunir o login do navegador dos sistemas infectados, File Transfer Protocol (FTP), e-mail, e credenciais do Messenger.

Além disso, o UIWIX usa uma carteira de Bitcoin diferente para cada vítima que infecta. Se a vítima acessar asURL’s no aviso de sequestro, será pedido um “código pessoal” (que também está no pedido de resgate), e leva então o usuário a se cadastrar em uma carteira de Bitcoin.

Outros malwares já começaram a usar o EternalBlue

Além do WannaCry e do UIWIX, os sensores da Trend Micro também detectaram um Cavalo de Tróia entregue usando o EternalBlue - Adylkuzz (TROJ_COINMINER.WN). Este malware transforma os sistemas infectados em zumbis e rouba seus recursos a fim de destruir a criptomoeda Monero.

Implementação do Patch e melhores práticas

O UIWIX, assim como muitas outras ameaças que exploram as falhas de segurança, são uma lição sobre o real significado do patching. As empresas devem equilibrar a forma como dão suporte à eficiência das operações de seus negócios ao mesmo tempo em que as protege.  

Considerando que o UIWIX usa o mesmo vetor de ataque do WannaCry, as melhores práticas contra o UIWIX e outras ameaças similares devem ser intuitivas:

·         Atualize seus sistemas, e considere usar também o virtual patching;

·         Habilite seus firewalls e também os sistemas de detecção e prevenção de invasões;

·         Monitore de forma proativa e valide o tráfego em curso dentro e fora do trabalho;

·         Implemente mecanismos de segurança para outros pontos de entrada que os hackers podem usar, comoe-mail e websites;

·         Instale um controle de aplicativos para impedir que arquivos suspeitos sejam executados no monitoramento de comportamento principal que possa impedir modificações indesejadas ao sistema;

·         Utilize a categorização de dados e segmentação de rede para diminuir a exposição e danos posteriores.

mais recentes · mais antigos

® 2007-2011 TIBAHIA.COM - O portal de tecnologia da Bahia. Todos os Direitos Reservados.