Ransomware UIWIX não é variante do WannaCry

Tido como o próximo grande ciberataque, ameaça é capaz de se autofinalizar caso detecte a presença de sandbox e cadastra uma carteira bitcoin diferente para cada vítima

Compartilhar:

Segundo a Trend Micro, ao contrário do que foi noticiado recentemente, citando o ransomware UIWIX como uma nova – e evoluída – versão do WannaCry, a análise indica que a ameaça é uma nova família que utiliza as mesmas vulnerabilidades do Server Message Block (SMB) para propagar-se dentro das redes e escanear a internet para infectar mais vítimas.

 

Diferenciais do UIWIX

 

Em que ponto o UIWIX é diferente? Ele parece não conter arquivos. O UIWIX é executado na memória depois de explorar o MS17-010 (código nomeado EternalBlue após sua divulgação pública pela Shadow Brokers). As infecções sem arquivo não incluem a gravação de arquivos/componentes reais no disco rígido do computador, o que reduz bastante o seu rastro e, por sua vez, dificulta sua detecção.

 

O UIWIX também é mais dissimulado, optando por se auto finalizar caso detecte a presença de uma máquina virtual (VM) ou sandbox. Com base na sequência de caracteres do UIWIX, ele parece ter rotinas capazes de reunir o login do navegador dos sistemas infectados, File Transfer Protocol (FTP), e-mail, e credenciais do Messenger.

 

Além disso, o UIWIX usa uma carteira de Bitcoin diferente para cada vítima que infecta. Se a vítima acessar as URLs no aviso de sequestro, será pedido um “código pessoal” (que também está no pedido de resgate), e leva então o usuário a se cadastrar em uma carteira de Bitcoin.

 

Outros malwares já começaram a usar o EternalBlue

 

Além do WannaCry e do UIWIX, os sensores da Trend Micro também detectaram um Cavalo de Tróia entregue usando o EternalBlue – Adylkuzz (TROJ_COINMINER.WN). Este malware transforma os sistemas infectados em zumbis e rouba seus recursos a fim de destruir a criptomoeda Monero.

 

Implementação do Patch e melhores práticas

 

O UIWIX, assim como muitas outras ameaças que exploram as falhas de segurança, são uma lição sobre o real significado do patching. As empresas devem equilibrar a forma como dão suporte à eficiência das operações de seus negócios ao mesmo tempo em que as protege.

 

Considerando que o UIWIX usa o mesmo vetor de ataque do WannaCry, as melhores práticas contra o UIWIX e outras ameaças similares devem ser intuitivas:

 

  • Atualize seus sistemas, e considere usar também o virtual patching;

 

  • Habilite seus firewalls e também os sistemas de detecção e prevenção de invasões;

 

  • Monitore de forma proativa e valide o tráfego em curso dentro e fora do trabalho;

 

  • Implemente mecanismos de segurança para outros pontos de entrada que os hackers podem usar, como e-mail e websites;

 

  • Instale um controle de aplicativos para impedir que arquivos suspeitos sejam executados no monitoramento de comportamento principal que possa impedir modificações indesejadas ao sistema;

 

  • Utilize a categorização de dados e segmentação de rede para diminuir a exposição e danos posteriores.

 

Conteúdos Relacionados

Security Report | Mercado

Hotéis na mira do vazamento de dados

Pesquisa da Symantec revela que sites podem vazar suas informações de reserva, permitindo que outras pessoas vejam os dados pessoais...
Security Report | Mercado

Tendências de segurança em Sistemas de Controle Industriais

Análise categoriza e classifica os riscos mais recorrentes após observação empírica; menos um terço dos riscos críticos e de alta...
Security Report | Mercado

Minsait amplia oferta de inteligência e segurança de redes com a Allot

Aliança entre as empresas tem como foco suprir a demanda do mercado de telecom brasileiro por dados analíticos com foco...
Security Report | Mercado

Boldon James lança solução de classificação de dados

OWA Classifier estende o suporte de classificação de dados do Outlook para o Microsoft Office 365