Los exploits de la NSA que aprovechó WannaCrypt ya se usaron antes y a mayor escala

El pasado viernes, el ransomware WannaCrypt empezaba a hacer estragos atacando la red interna de Telefónica, para después expandirse por todo el mundo, afectando a unos 200.000 ordenadores en 150 países. Según se informa en Ars Technica, el exploit usado para aprovecharse del fallo que descubrió la NSA originalmente se habría utilizado antes para crear una botnet para minar criptomonedas.

Esto se habría descubierto en una investigación, conducida por los investigadores de Proofpoint. Para uno de ellos (Kafeine), esta campaña habría empezado entre el 24 de abril y el 2 de mayo de 2017, logrando ser muy efectiva y comprometiendo ordenadores conectados a Internet que no habían instalado la actualización de seguridad del mes de Marzo para parchear vulnerabilidades críticas.

Algunos síntomas del ataque incluyen una pérdida de acceso a recursos en red y un descenso en el rendimiento del sistema. El investigador de Proofpoint comentaba que algunas personas, que pensaban que sus sistemas se habían visto comprometidos por WannaCrypt, en realidad habían sido atacadas por este otro malware, llamado Adylkuzz.

Kafeine también comentó que este ataque, que había sido pasado por alto, podía haber limitado el alcance de WannaCry cerrando la red SMB para evitar que las máquinas comprometidas cayesen en manos de botnets.

Los investigadores han identificado más de 20 anfitriones configurados para escanear Internet e infectar máquinas vulnerables que encuentran en sus búsquedas. Hay al menos más de una docena de servidores de control de Adylkuzz, que se emplea para extraer la moneda Monero.

Según el medio, un investigador de seguridad que trabaja para Google encontró en WannaCrypt huellas digitales que lo relacionan con Lazarus Group, que conduce una operación que supuestamente viene de Corea del Norte.

Como ya dijimos en un artículo anterior, conforme pasan los días y vamos conociendo más detalles sobre la información y lo que rodea a WannaCrypt y a los exploits robados por The Shadow Brokers, la cosa se pone cada vez más interesante. Veremos dónde acaba todo esto, aunque parece que todavía quedan cosas por conocer.

Vía | Ars Technica
En Genbeta | Nueve de los ransomwares más graves de la historia

Temas

Loading...