Segundo a Trend Micro, ao contrário do que foi noticiado recentemente, citando o ransomware UIWIX como uma nova – e evoluída – versão do WannaCry, a análise indica que a ameaça é uma nova família que utiliza as mesmas vulnerabilidades do Server Message Block (SMB) para propagar-se dentro das redes e escanear a internet para infectar mais vítimas.
Diferenciais do UIWIX
Em que ponto o UIWIX é diferente? Ele parece não conter arquivos. O UIWIX é executado na memória depois de explorar o MS17-010 (código nomeado EternalBlue após sua divulgação pública pela Shadow Brokers). As infecções sem arquivo não incluem a gravação de arquivos/componentes reais no disco rígido do computador, o que reduz bastante o seu rastro e, por sua vez, dificulta sua detecção.
O UIWIX também é mais dissimulado, optando por se auto finalizar caso detecte a presença de uma máquina virtual (VM) ou sandbox. Com base na sequência de caracteres do UIWIX, ele parece ter rotinas capazes de reunir o login do navegador dos sistemas infectados, File Transfer Protocol (FTP), e-mail, e credenciais do Messenger.
Além disso, o UIWIX usa uma carteira de Bitcoin diferente para cada vítima que infecta. Se a vítima acessar as URLs no aviso de sequestro, será pedido um “código pessoal” (que também está no pedido de resgate), e leva então o usuário a se cadastrar em uma carteira de Bitcoin.
Outros malwares já começaram a usar o EternalBlue
Além do WannaCry e do UIWIX, os sensores da Trend Micro também detectaram um Cavalo de Tróia entregue usando o EternalBlue – Adylkuzz (TROJ_COINMINER.WN). Este malware transforma os sistemas infectados em zumbis e rouba seus recursos a fim de destruir a criptomoeda Monero.
Implementação do Patch e melhores práticas
O UIWIX, assim como muitas outras ameaças que exploram as falhas de segurança, são uma lição sobre o real significado do patching. As empresas devem equilibrar a forma como dão suporte à eficiência das operações de seus negócios ao mesmo tempo em que as protege.
Considerando que o UIWIX usa o mesmo vetor de ataque do WannaCry, as melhores práticas contra o UIWIX e outras ameaças similares devem ser intuitivas:
- Atualize seus sistemas, e considere usar também o virtual patching;
- Habilite seus firewalls e também os sistemas de detecção e prevenção de invasões;
- Monitore de forma proativa e valide o tráfego em curso dentro e fora do trabalho;
- Implemente mecanismos de segurança para outros pontos de entrada que os hackers podem usar, como e-mail e websites;
- Instale um controle de aplicativos para impedir que arquivos suspeitos sejam executados no monitoramento de comportamento principal que possa impedir modificações indesejadas ao sistema;
- Utilize a categorização de dados e segmentação de rede para diminuir a exposição e danos posteriores.