Alerta ante un posible segundo ciberataque a gran escala: se llama Adylkuzz e imita a WannaCry

Justo cuando WannaCry está dando sus últimos coletazos, expertos en ciberseguridad ha detectado un nuevo ciberataque a gran escala que afecta a cientos de miles de ordenadores en todo el mundo sin el conocimiento de los usuarios. Ha sido bautizado como Adylkuzz.

Según ha explicado la firma de seguridad Proofpoint a la agencia AFP, este nuevo «malware» infectaría los ordenadores con el fin de crear y robar dinero virtual. En este caso, no se trataría de bitcoins, la más popular, sino de otra criptomoneda. Adylkuzz es más sigiloso que WannaCry pero consigue infectar los dispositivos porque utiliza la misma brecha de seguridad en Windows que WannaCry. Sin embargo, no actúa igual que el recién « ramsonware» masivo.

Robert Holmes, vicepresidente de producto en Proofpoint, ha asegurado a AFP que «todavía no sabemos el alcance (del daño), pero cientos de miles de ordenadores pueden haber sido infectado», por lo que podría ser que este nuevo ataque resultase «mucho mayor» que WannaCry.

Concretamente, este «malware» se mete en equipos vulnerables a través de la misma vulnerabilidad en Windows utilizada por WannaCry. Así, crea, de forma invisible, unidades de una moneda virtual llamada Monero, comparable a Bitcoin, «pero con capacidades mejoradas de anonimato». Como infecta a millones de ordenadores, se crea una red de dispositivos zombies, lo que se conoce como «botnet», encargada de crear la moneda digital. Los datos que utilizan estas ganancias son extraídos y enviados a direcciones cifradas.

«Varias organizaciones grandes reportaron problemas de red en la mañana del 15 de mayo que originalmente fueron atribuidos a la campaña de WannaCry (que se inició tres días antes). Sin embargo, debido a la falta de avisos de rescate, ahora creemos que estos problemas podrían estar asociados con la actividad de Adylkuzz. Sin embargo, cabe señalar que la campaña de Adylkuzz es significativamente anterior al ataque de WannaCry, comenzando por lo menos el 2 de mayo y posiblemente el 24 de abril. Este ataque es continuo y, aunque menos llamativo que WannaCry, es bastante grande y potencialmente bastante disruptivo», asegura la compañía en su blog, donde ha dado a conocer la nueva amenaza.

«El ataque Adylkuzz es más rentable para los cibercriminales. Transforma a los usuarios infectados en participantes involuntarios que financian a sus atacantes», explica Nicolas Godier, experto en seguridad cibernética de Proofpoint. Para el usuario, «los síntomas de ataque son (sobre todo) el rendimiento del equipo lento», asegura la compañía. «Ya ha habido ataques de este tipo, con el «software» de creación de la moneda criptográfica, pero nunca a esta escala», ha asegurado Robert Holmes.

Falta de pruebas

Ni gobiernos ni entidades han confirmado que se trate de un nuevo ciberataque a escala mundial. De hecho, el Centro Nacional de Inteligencia (CNI) ha descartado a este periódico que suponga una amenaza mundial. De momento, es solo un estudio más de una firma de seguridad cuyas implicaciones se desconocen.

Desde All4sec, empresa española especializada en ciberseguridad, indican que «sería arriesgado afirmar que se trata de un ciberataque a nivel mundial» porque, de momento, la información es contradictoria.

«Asegurar ahora mismo que Adylkuzz es un nuevo ciberataque a nivel mundial es aventurarse demasiado a la luz de las pruebas que tenemos. Se está hablando en algunos foros que Adylkuzz comenzó realmente el 24 de abril por lo que no se trataría de un 'nuevo ataque'», ha asegurado a este periódico Alfonso Franco, director general de All4sec.

«Todo apunta a que es anterior a WannaCry -continua- pero se está empezando a ver ahora y tendremos que esperar un poco para poder determinar su impacto real ya que por lo que se comenta la campaña que empezaron todavía no está acabada. Lo que sí es cierto es que muchos fabricantes de antivirus ya están incorporando las firmas de Adylkuzz en sus bases de datos».

Por su parte, Steve Grobman, director de tecnología de la firma de seguridad McAfee, ha querido explicar algunas cuestiones relacionadas con la aparición de esta nueva amenaza: «WannaCry y Adylkuzz son los últimos ejemplos de cómo el análisis de riesgo de “parchear o no parchear” debe ser una cuestión replanteada dentro de las organizaciones de todo el mundo», insiste.

«Una de las principales diferencias entre Adylkuzz y WannaCry es que Adylkuzz puede permanecer un tiempo sin ser detectado y seguir actuando siempre y cuando sea posible maximizar la cantidad de tiempo que una máquina es usada para data mining», añade. En su opinión, «es un aliciente para que los cibercriminales de Adylkuzz causen daños mínimos mientras pasan desapercibidos, mientras que WannaCry alerta al usuario que se ha producido una vulneración y provoca la destrucción masiva de los datos de una plataforma».