17 mai 201715:481935

După WannaCry, un nou atac cibernetic de amploare transformă calculatoarele în „zombie” de făcut bani

Un nou atac cibernetic de amploare, Adylkuzz, a afectat sute de mii de calculatoare din lume pe care le infectează cu ajutorul aceleiaşi vulnerabilităţi folosite şi de atacaul WannaCry, cea descoperită de NSA. Atacul este însă mult mai puţin vizibil, scopul hackerilor fiind de a transforma calculatoarele infectate în aşa-numite „zombie”, unităţi care să lucreze pe ascuns la crearea monedelor virtuale Monero, derivate din Bitcoin, potrivit experţilor în securitate cibernetică de la Proofpoint. Şeful Centrului Naţional Cyberint susţine că sunt informaţii despre noul atac cibernetic însă confirmarea existenţei acestuia şi analizării lui este de durată, Anton Rog precizând că instituţiile care şi-au instalat actualizările la zi nu vor fi victime.

După atacul WannaCry care a avut loc vineri, compania de securitate cibernetică Proofpoint susţine că a descoperit un nou atac cibernetic, numit Adylkuzz, care ar folosi un instrument bazat pe Eternal Blue de la NSA şi care exploatează vulnerabilităţi din sistemul de operare Windows, la fel ca şi atacul WannaCry de weekendul trecut.

„Nu cunoaştem amploarea prejudiciului, dar sute de mii de calculatoare au fost infectate, ceea ce dovedeşte că atacul este mult mai vast decât Wannacry”, potrivit lui Robert Holmes, vicepreşedinte al liniei de producţie Proofpoint.

Atacul Adylkuzz a fost asimilat WannaCry, pentru că s-a suprapus cu acesta, însă experţii de la Proofpoint au descoperit că multe calculatoare infectate erau de fapt înrolate în operaţiunea de „mining” de monedă virtuală pentru care este folosit acest atac, Adylkuzz.

Folosind instrumentul de exploatare EternalBlue, dezvoltat de NSA şi scurs în public în luna martie de o grupare de hackeri, Adylkuzz instalează un virus de tip „backdoor” numit DoublePulsar, care permite apoi preluarea controlului de către hackeri şi „înrolarea” în operaţiunea Adylkuzz. 

Software-ul dăunător creează astfel, fără să fie detectat, unităţi monetare virtuale numite Monero, un derivat din Bitcoin. Aceste monede virtuale se creează printr-un proces automatizat numit „mining”, prin care un computer pus să facă aşa ceva creează într-un timp dat o astfel de monedă. O reţea de calculatoare „zombie” este utilă astfel pentru a crea efectiv monedă virtuală, care să poată apoi fi folosită în diverse tranzacţii. Pentru utilizator „simptomele atacului sunt încetinirea performanţelor calculatorului”, a precizat Proofpoint într-un articol online.

Reacţia şefului Centrului Naţional Cyberint

„Avem informaţii şi despre acest atac, dar până la confirmare şi la o analiză foarte serioasă mai durează. Este un atac de tipul monedă virtuală şi se distribuie prin acelaşi mecanism prin care s-a distribuit şi 'Wanna Cry, Wanna Crypt'. Instituţiile care şi-au instalat actualizările la zi nu vor fi victima acestui atac. Este aceeaşi vulnerabilitate", a declarat Anton Rog miercuri.
 
Specialiştii susţin că noul atac este similar cu cel de vinerea trecută, însă este mai greu de observat: „Infectează victimele, dar în loc să le blocheze accesul la fişierele de pe calculator, pur şi simplu foloseşte resursele calculatorului pentru a mina monedă virtuală pentru atacatori. Practic, foloseşte calculatoarele infectate pentru a face bani pentru atacatori. În momentul în care infectează victima, aceasta blochează o altă versiune de a folosi aceeaşi vulnerabilitate. Se asigură că odată infectat, computerul nu mai poate fi infectat de orice altă versiune de virus, işi asigură persistenţa pe sistem. Tot ceea ce vede utilizatorul este o încetinire a calculatorului. Va deschide aplicaţii mai greu, va consuma mai multe resusrse, dar nu va ştii ce se întâmplă pe calculator. Atacul din weekend era interesant pentru că în momentul în care te infectai, vedeai efectiv că s-a întâmplat ceva cu calculatorul tău, vedei un mesaj pe ecran şi că nu mai poţi accesa fişierele. În momentul de faţă, calculatorul poate fi infectat o foarte lungă perioadă de timp fără să îţi dai seama", a explicat Liviu Arsene, specialist în securitate cibernetică.
 
Noul virus ar fi apărut pe 15 mai, până în prezent nefiind nicio raportare în România.
 
„Nu cer recompensă, dar pot face bani accesând datele din calculatoarele respective. Bitcoin este o monedă virtuală. Ea funcţionează ăn felul următor: trebuie să rezolvi o ecuaţie matematică pentru a obţine un rezultat. Cu cât ai o putere de procesare mai mare, cu atât poţi obţinem mai multe rezultate. Există o întreagă piaţă de produse cumpărate prin intermediul monedelor virtuale. Poţi cumpăra maşini de spălat, frigidere, bunuri pe care le poţi vinde mai departe pentru bani fizici. Momentan este foarte greu de ştiut câte victime sunt. Unul din motivele pentru care "I wanna cry" s-a oprit sau nu s-a împrăştiat atât de mult ar putea fi faptul că acest nou virus ar fi blocat infecţia cu "I wanna cry". A apărut de pe data de 15 mai, dar momentan, din utilizatorii noştri, nu avem nicio raportare", mai spune Liviu Arsene.

Citarea se poate face în limita a 250 de semne. Nici o instituţie sau persoană (site-uri, instituţii mass-media, firme de monitorizare) nu poate reproduce integral scrierile publicistice purtătoare de Drepturi de Autor fără acordul Mediafax Group.