PowerGhost: cuidado com a mineração-fantasma

Malware sem arquivo infecta estações de trabalho e servidores em redes corporativas.

Nossos especialistas descobriram recentemente um minerador focado principalmente em redes corporativas. A natureza “sem arquivo” do PowerGhost permite que o malware se instale nas estações de trabalho e servidores das vítimas sem ser notado. A maioria dos ataques registrados até agora aconteceram na Índia, Turquia, Brasil e Colômbia.
Depois de invadir a infraestrutura de uma empresa, o PowerGhost tenta acessar contas de usuário de rede por meio da Instrumentação de Gerenciamento do Windows (WMI), ferramenta legítima de administração remota. O malware obtém logins e senhas com o uso de uma ferramenta de extração de dados chamada Mimikatz. O minerador também pode ser distribuído por meio do Eternal Blue, exploit para Windows usado pelos criadores do WannaCry e ExPetr. Teoricamente, essa vulnerabilidade foi corrigida por um ano, mas na prática continua em operação.

Uma vez nos dispositivos das vítimas, o malware tenta ampliar seus privilégios por meio de diversas vulnerabilidades do Sistema Operacional (veja a publicação no Securelist para detalhes técnicos). Depois disso, o minerador consegue um ponto de apoio no sistema e começa a faturar criptomoedas para seus desenvolvedores.

Por que o PowerGhost é perigoso?

Como qualquer minerador, o PowerGhost usa seus recursos computacionais para minerar criptomoedas. Isso reduz a performance do servidor e outros dispositivos, assim como acelera significativamente o seu desgaste, o que leva a custos de reposição.

No entanto, comparado com a maioria destes programas, o PowerGhost é mais difícil de detectar porque não baixa arquivos maliciosos para o dispositivo. E isso significa que pode operar por mais tempo disfarçado no seu servidor ou estação de trabalho, e causar mais danos.

Além disso, em uma versão do malware, nossos especialistas descobriram uma ferramenta para ataques DDoS. O uso dos servidores de uma empresa para bombardear outra vítima pode desacelerar ou até mesmo paralisar atividades operacionais. Uma característica interessante é a habilidade do malware de verificar se está sendo executado em um sistema operacional verdadeiro ou em uma sandbox, o que permite desviar de soluções de segurança comuns.

Caçadores de PowerGhost

Para evitar infecção e proteger equipamentos do ataque do PowerGhost e de outros malwares parecidos, você deve monitorar atentamente a segurança das redes corporativas.

  • Não ignore atualizações de softwares e de sistemas operacionais. Todas as vulnerabilidades exploradas pelo minerador já foram corrigidas pelos fornecedores. Criadores de vírus tendem a basear suas criações em exploits para vulnerabilidades corrigidas há muito tempo.
  • Aprimore as habilidades de conscientização de segurança dos funcionários. Lembre que muitos incidentes cibernéticos são causados pelo fator humano.
  • Utilize soluções de segurança confiáveis com tecnologia de análise comportamental – essa é a única maneira de capturar ameaças sem arquivos. Os produtos da Kaspersky Lab para empresas detectam tanto o PowerGhost e seus componentes individuais, quanto muitos outros programas maliciosos, incluindo alguns ainda desconhecidos.
Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.

Inscreva-se para receber nossos destaques em seu e-mail