Ang Cryptocurrency Miner na pinangalanang 'Adylkuzz' ay umaatake sa mga Network sa pamamagitan ng EternalBlue at DoublePulsar Malware
Habang ang kilalang WannaCry Ransomware ay naging mga headline sa cybersecurity news noong 2017, ang mga malisyosong aktor ay sabay-sabay na gumagamit ng parehong mga pagsasamantala upang maikalat ang isang cryptocurrency na minero na pinangalanang Adylkuzz. Tulad ng WannaCry, gumamit si Adylkuzz ng mga leaked na tool sa pag-hack ng NSA upang magamit ang isang kahinaan sa networking ng Microsoft Windows at hindi paganahin ang networking sa mga nahawaang device, na pinaniniwalaan ng mga mananaliksik na nauna na si Adylkuzz sa mga pag-atake ng WannaCry sa maraming paraan.
Noong 2017, isang napakalaking pag-atake ng ransomware ang nagsamantala sa EternalBlue upang makahawa sa mga LAN at wireless network sa buong mundo. Natukoy ang EternalBlue bilang bahagi ng Shadow Brokers dump ng mga tool sa pag-hack ng NSA. Natutuklasan nito ang mga mahihinang computer at nagpapalaganap ng mga nakakahamak na payload sa pamamagitan ng paggamit ng kahinaan ng Microsoft Server Message Block MS17-010 sa TCP port 445. Ang pagsusuklay ng EternalBlue sa isa pang tool sa backdoor ng NSA na tinatawag na DoublePulsar , na-install ng mga umaatake ang kilalang banta sa ransomware na WannaCry .
Gayunpaman, nakita ng mga mananaliksik ang isa pang malakihang pag-atake na gumamit din ng EternalBlue at DoublePulsar upang makahawa sa mga computer, ngunit sa pagkakataong ito ay may isang cryptocurrency na minero na tinatawag na Adylkuzz.
Ang pagtuklas ay ginawa pagkatapos na sadyang ilantad ang isang lab machine na vulnerable sa EternalBlue. Nalaman ng mga mananaliksik ng Cybersecurity na ang device ay nahawahan ng DoublePulsar sa matagumpay na pagsasamantala sa pamamagitan ng EternalBlue. Pagkatapos, binuksan ng DoublePulsar ang daan para tumakbo si Adylkuzz mula sa isa pang host. Matapos harangan ang komunikasyon ng SMB, tinukoy ng minero ang pampublikong IP address ng biktima at na-download ang mga tagubilin sa pagmimina kasama ang ilang partikular na tool sa paglilinis. Ang Adylkuzz ay ginamit upang minahan ang Monero cryptocurrency sa partikular na pagkakataong ito. Ang pagmamasid sa isa sa ilang mga address ng Monero na nauugnay sa pag-atake na ito ay nagpapakita na ang pagmimina ay tumigil pagkatapos mabayaran ang $22,000 sa address na iyon. Ang mga pagbabayad sa pagmimina bawat araw na nauugnay sa isang partikular na address ay nagpapakita rin na ang mga umaatake ay regular na nagpalipat-lipat sa pagitan ng ilang mga address upang maiwasan ang masyadong maraming Monero na barya na mailipat sa isang address.
Kasama sa mga karaniwang sintomas ng Adylkuzz ang nawalang access sa mga nakabahaging mapagkukunan ng Windows at lumalalang pagganap ng PC. Sa ilang mga kaso ng pinaghihinalaang pag-atake ng WannaCry sa mga malalaking corporate network, ang kakulangan ng ransom note ay nagpapahiwatig na ang mga naiulat na isyu sa networking ay aktwal na nauugnay sa aktibidad ng Adylkuzz. Sinasabi pa ng mga mananaliksik na ang mga istatistika ng pag-install ng Adylkuzz ay nagmumungkahi ng mas makabuluhang epekto kaysa sa pag-atake ng WannaCry habang pinapatay ng minero ang SMB networking sa mga apektadong computer at sa gayon ay pinipigilan ang pag-install ng mga karagdagang banta ng malware sa pamamagitan ng parehong kahinaan. Kaya, maaaring talagang limitado ni Adylkuzz ang pagpapalaganap ng WannaCry sa panahong iyon. Mahigit sa 20 host upang i-scan at atakihin ang natukoy sa panahon ng pagsisiyasat, kasama ang higit sa isang dosenang aktibong Adylkuzz Command-and-Control Server.
Sa kasalukuyan, ang mga kahinaan na pinagsamantalahan ng nag-leak na EternalBlue at DoublePulsar na mga tool sa pag-hack ay na-patch na, kaya ang mga indibidwal at organisasyon ay hinihimok na panatilihing napapanahon ang kanilang mga Windows computer sa lahat ng oras.