عامل منجم العملات المشفرة المسمى "Adylkuzz" يهاجم الشبكات من خلال البرامج الضارة EternalBlue و DoublePulsar

بينما تصدرت WannaCry Ransomware سيئة السمعة عناوين الأخبار في أخبار الأمن السيبراني في عام 2017 ، كانت الجهات الفاعلة الخبيثة تستخدم في نفس الوقت نفس المآثر لنشر مُعدِّن للعملات المشفرة يُدعى Adylkuzz. مثل WannaCry ، استخدم Adylkuzz أدوات قرصنة NSA مسربة للاستفادة من ثغرة أمنية في شبكات Microsoft Windows وتعطيل الشبكات على الأجهزة المصابة ، مما جعل الباحثين يعتقدون أن Adylkuzz سبقت هجمات WannaCry بعدة طرق.

في عام 2017 ، استغل هجوم رانسوم وير هائل EternalBlue لإصابة الشبكات المحلية والشبكات اللاسلكية في جميع أنحاء العالم. تم تحديد EternalBlue كجزء من تفريغ Shadow Brokers لأدوات القرصنة التابعة لوكالة الأمن القومي. يكتشف أجهزة الكمبيوتر الضعيفة وينشر الحمولات الضارة عن طريق الاستفادة من ثغرة Microsoft Server Message Block MS17-010 على منفذ TCP 445. من خلال دمج EternalBlue مع أداة أخرى للباب الخلفي من NSA تسمى DoublePulsar ، قام المهاجمون بتثبيت تهديد برنامج الفدية الشهير WannaCry .

ومع ذلك ، اكتشف الباحثون هجومًا آخر واسع النطاق استخدم أيضًا كل من EternalBlue و DoublePulsar لإصابة أجهزة الكمبيوتر ، ولكن هذه المرة باستخدام عامل منجم العملة المشفرة يسمى Adylkuzz.

تم الاكتشاف بعد التعريض المتعمد لآلة معملية معرضة لـ EternalBlue. اكتشف باحثو الأمن السيبراني أن الجهاز أصيب ببرنامج DoublePulsar عند الاستغلال الناجح من خلال EternalBlue. بعد ذلك ، فتح برنامج DoublePulsar الطريق لتشغيل Adylkuzz من مضيف آخر. بعد حظر اتصال SMB ، حدد عامل المنجم عنوان IP العام للضحية وقام بتنزيل إرشادات التعدين جنبًا إلى جنب مع بعض أدوات التنظيف. تم استخدام Adylkuzz لتعدين عملة Monero المشفرة في هذه الحالة بالذات. تكشف مراقبة أحد عناوين Monero العديدة المرتبطة بهذا الهجوم أن التعدين توقف بعد دفع 22000 دولار لهذا العنوان. تُظهر مدفوعات التعدين يوميًا المرتبطة بعنوان واحد محدد أيضًا أن المهاجمين كانوا ينتقلون بانتظام بين عدة عناوين لتجنب تحويل عدد كبير جدًا من عملات Monero إلى عنوان واحد.

تشمل الأعراض الشائعة لـ Adylkuzz فقدان الوصول إلى موارد Windows المشتركة وتدهور أداء الكمبيوتر. في العديد من حالات هجمات WannaCry المشتبه بها على شبكات الشركات واسعة النطاق ، يشير عدم وجود مذكرة فدية إلى أن مشكلات الشبكات المبلغ عنها كانت مرتبطة فعليًا بنشاط Adylkuzz. حتى أن الباحثين يزعمون أن إحصائيات تثبيت Adylkuzz تشير إلى تأثير أكبر بكثير من هجوم WannaCry حيث يقوم عامل التعدين بإغلاق شبكة SMB على أجهزة الكمبيوتر المتأثرة وبالتالي يمنع تثبيت تهديدات البرامج الضارة الإضافية من خلال نفس الثغرة الأمنية. وبالتالي ، قد يكون Adylkuzz قد حد بالفعل من انتشار WannaCry خلال تلك الفترة. تم تحديد أكثر من 20 مضيفًا للمسح والهجوم أثناء التحقيق ، إلى جانب أكثر من اثني عشر خادمًا نشطًا للقيادة والتحكم Adylkuzz.

في الوقت الحالي ، تم تصحيح الثغرات الأمنية التي استغلت بواسطة أدوات القرصنة EternalBlue و DoublePulsar المسربة ، لذلك يتم حث الأفراد والمؤسسات على تحديث أجهزة الكمبيوتر التي تعمل بنظام Windows في جميع الأوقات.