O WannaCry ainda está tendo reflexos globais. Especialistas em segurança apontam que a brecha utilizada no ataque também foi usada em outra ação anterior, que talvez tenha vitimado ainda mais máquinas e usuários pelo mundo do que os 200 mil computadores em 150 países do ransomware de semana passada.
O ataque em questão foi batizado de Adylkuzz, e ele usa a mesma arma EternalBlue desenvolvida pela NSA e vazada pelo grupo Shadow Brokers, que mira computadores com Windows. A diferença é o método de ação; em vez de travar o computador e pedir resgate para liberá-lo, este malware instala um software para mineração da criptomoeda Monero, similar à Bitcoin, mas que promete anonimato completo sobre as transações.
Segundo o especialista conhecido como Kafeine, da empresa de segurança Proofpoint, o ataque começou entre 24 de abril e 2 de maio, agindo de uma forma muito mais silenciosa do que o escandaloso WannaCry.
O modo de ação do Adylkuzz é bastante direto. Por meio da brecha EternalBlue, as máquinas são infectadas com um sistema chamado DoublePulsar, que abre uma porta dos fundos para a instalação do Adylkuzz propriamente dito, que toma várias precauções para evitar ser detectado e começa o trabalho de mineração.
Ao contrário do WannaCry, não há nenhuma tela avisando que você foi infectado. Os únicos sintomas são a perda de acesso a recursos de rede e lentidão no computador, como resultado da mineração em plano de fundo. Por ser mais discreto, ele pode ter alcançado ainda mais vítimas, o que torna o feito impressionante e perigoso, e leva a questionar quantas outras redes de computadores infectados não foram criadas e ainda não descobertas com base nas armas cibernéticas vazadas da NSA.
Por usar as mesmas vulnerabilidades do WannaCry, o Adylkuzz pode ser prevenido com as mesmas medidas de segurança: atualização do Windows. Se você ainda não fez isso, você pode conferir como baixar o pacote de correção para a sua versão neste link.