Nossos especialistas descobriram recentemente um minerador focado principalmente em redes corporativas. A natureza “sem arquivo” do PowerGhost permite que o malware se instale nas estações de trabalho e servidores das vítimas sem ser notado. A maioria dos ataques registrados até agora aconteceram na Índia, Turquia, Brasil e Colômbia.
Depois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota. O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e ExPetr. Teoricamente, essa vulnerabilidade foi corrigida por um ano, mas na prática continua em operação.
Uma vez nos dispositivos das vítimas, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publicação no Securelist para detalhes técnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.
Por que o PowerGhost é perigoso?
Como qualquer minerador, o PowerGhost usa seus recursos computacionais para minerar criptomoedas. Isso reduz a performance do servidor e outros dispositivos, assim como acelera significativamente o seu desgaste, o que leva a custos de reposição.
No entanto, comparado com a maioria destes programas, o PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado no seu servidor ou estação de trabalho, e causar mais danos.
Além disso, em uma versão do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns.
Caçadores de PowerGhost
Para evitar infecção e proteger equipamentos do ataque do PowerGhost e de outros malwares parecidos, você deve monitorar atentamente a segurança das redes corporativas.
- Não ignore atualizações de softwares e de sistemas operacionais. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.
- Aprimore as habilidades de conscientização de segurança dos funcionários. Lembre que muitos incidentes cibernéticos são causados pelo fator humano.
- Utilize soluções de segurança confiáveis com tecnologia de análise comportamental – essa é a única maneira de capturar ameaças sem arquivos. Os produtos da Kaspersky Lab para empresas detectam tanto o PowerGhost e seus componentes individuais, quanto muitos outros programas maliciosos, incluindo alguns ainda desconhecidos.