WannaMine já faz vítimas no Brasil; saiba como se proteger

O malware minerador de criptomoedas WannaMine, que segue um caminho similar ao ransomware WannaCry, já está fazendo vítimas no Brasil. De acordo com a Morphus Labs, o vírus é capaz de se movimentar lateralmente em uma rede corporativa utilizando técnicas de pass-the-hash ou exploração da vulnerabilidade EternalBlue (MS17–010) — este último foi o caminho explorado pelo ransomware que sequestrou mais de 300 mil computadores em 2017.

A dificuldade para rastrear o malware WannaMine é grande: por não criar arquivos no sistema invadido, os softwares antivírus têm dificuldade para encontrá-lo. Ao não criar arquivos, o WannaMine acaba sendo carregado diretamente na memória da máquina.

• Você pode acessar aqui para acompanhar imagens e códigos do malware

"A análise deste do malware e do vetor inicial de infecção estão em curso, mas os IOCs levantados até o momento pela equipe do Morphus Labs podem ajudá-lo a verificar a eventual existência de máquinas infectadas no seu ambiente bem como evitar a comunicação destas com os servidores de comando e controle e pools de mineração", escreveu Renato Marinho, CRO da Morphus. "Endereços utilizados pelo malware para download do payload adequado a arquitetura do computador da vítima (32 ou 64 bits): hxxp://172.247.116.8:8000, hxxp://107.179.67.243:8000 e hxxp://118.184.48.95:8000".

De acordo com Marinho, as recomendações para se proteger do WannaMine são as seguintes:

• Verifique se o patch MS17–010, que corrige a vulnerabilidade do SMB conhecida por EternalBlue, foi aplicado em todos os servidores e estações da sua organização
• Inclua neste levantamento estações de funcionários ou terceiros que se conectam ao ambiente por meio de VPN e que possam ter acesso a compartilhamentos Windows
• Reveja a segmentação da rede de forma a minimizar as chances de uma eventual movimentação lateral entre, por exemplo, estações de diferentes departamentos ou unidades de negócio
• Suspeite de estações ou servidores do seu ambiente que apresentem um consumo elevado de CPU durante longos períodos — a equipe do NOC/SOC deve estar atenta também a este indicador