A vulnerabilidade Bluekeep, direcionada a sistemas Windows, é dada pelo CVE-2019-0708, com capacidades de um worm, e que pode ser usada como potencial malware para se propagar de um sistema para outro sem ter necessariamente a interação da vítima.

De acordo com M. Hutchins, o investigador famoso por ter parado o WannaCry em 2017, o vírus reside na memória e utiliza shellcode para "largar" um minerador de Monero, moeda virtual. O exploit contém comandos em Powershell, como um payload inicial, e que depois fazem download de um binário executável a partir de um servidor remoto controlado pelo atacante.

O Vírustotal considera este binário como um malware de criptomoeda que minera o Monero (XMR) utilizando o poder de computação dos sistemas infetados para, dessa forma, gerar lucro aos atacantes.

De acordo também com o investigador, o vírus não possui quaisquer capacidades de autopropagação, já que primeiro o objetivo é encontrar sistemas vulneráveis e depois explorá-los.

Como prevenir a infeção?

- Desativar serviços de RDP se não forem necessários

- Bloquear a porta 3389 através de uma firewall ou tornando a mesma acessível somente através de uma VPN privada

- Ativar Autenticação ao nível da rede (para que o atacante se tenha de autenticar para executar o ataque

Mais informações: https://www.darkreading.com/attacks-breaches/first-bluekeep-exploit-found-in-the-wild/d/d-id/1336265