O site da Associação Brasileira para Desenvolvimento de Atividades Nucleares (Abdan) foi hackeado na noite desta segunda-feira, 13 de maio, e todos os e-mails recebidos pela entidade foram sequestrados, inclusive os de inscrição para um evento em junho. Os hackers pediram Bitcoin como forma de resgate para que os dados fossem liberados, no entanto, o presidente da Abdan Celso Cunha se negou a pagar qualquer valor para os atacantes.
Cunha informou que denunciará o caso aos órgãos competentes e recomendou que todos os inscritos no WNU 2019, evento mundial do setor, previsto para ocorrer de 03 a 05 de junho, em Brasília, refaçam as inscrições como medida de segurança. No momento da escrita deste artigo, o site foi recuperado e, aparentemente, todos os serviços e informações foram restabelecidas.
A Abdan não forneceu detalhes de como conseguiu restabelecer o serviço e nem de que forma o site foi hackeado. Recentemente, a equipe da Tencent Security identificou que hackers desenvolveram um trojan (programa malicioso) que, entre outras funções, opera um script de mineração de Monero em computadores e dispositivos infectados. Segundo os pesquisadores da gigante chinesa, países como Rússia, Brasil, Ucrânia e China estão sendo atingidos.
O Blouiroet é um trojan com a capacidade de estabelecer conexões de acesso remoto, keylog, coletar informações do sistema, baixar / carregar arquivos e até mesmo eliminar outros malwares no sistema infectado, visando aumentar sua capacidade de mineração.
Confira nossas sugestões de Pre-Sales para investir agora
Segundo a Tecent, quando o Blouiroet for executado, ele terminará primeiramente com todos os outros processos de mineração de trojan e monopolizará os recursos do sistema para executar a mineração do Monero. Também foi detectado que o grupo de hackers por trás do Blouiroet possui infra-estruturas atualizadas, como IP e nomes de domínio, e até mesmo cria vários pools de mineração.
A Tencent Security sugere que se deve desativar portas desnecessárias como 445, 135, 139, etc., entre outras recomendações como, para aqueles cujos computadores foram comprometidos, a exclusão dos arquivos:
C: /Users/Public/nw.exe
C: /Windows/SysWOW64/svchosts.exe
C: /Windows/SysWOW64/AutoCloseExe.txt
C: /Windows/SysWOW64/parameters.ini
C: /Windows/SysWOW64/blockpro.txt
C: /Windows/SysWOW64/updater.txt
C: /Windows/SysWOW64/desinf.bat
C: /Windows/SysWOW64/update.bat
C: /Windows/SysWOW64/processlist.txt
C: /Windows/SysWOW64/restart.bat
C: / Arquivos de programas / Common Files / System / mainer.zip
C: / Arquivos de programas / Common Files / System / iexplorer.exe
C: /ProgramData/lsass2.exe
Leia também: Brasileiro processa o Google pela perda de 79 Bitcoins em ataque hacker no Gmail