Копач на криптовалута, наречен „Adylkuzz“, атакува мрежи чрез зловреден софтуер EternalBlue и DoublePulsar

Докато скандалният рансъмуер WannaCry направи заглавия в новините за киберсигурността през 2017 г., злонамерените участници едновременно използваха същите експлойти, за да разпространят копач на криптовалута на име Adylkuzz. Подобно на WannaCry, Adylkuzz използва изтекли хакерски инструменти на NSA, за да използва мрежовата уязвимост на Microsoft Windows и да деактивира мрежата на заразени устройства, карайки изследователите да вярват, че Adylkuzz е предшествал атаките на WannaCry по много начини.

През 2017 г. масивна ransomware атака използва EternalBlue , за да зарази LAN и безжични мрежи по целия свят. EternalBlue е идентифициран като част от изхвърлянето на хакерски инструменти на NSA на Shadow Brokers. Той открива уязвими компютри и разпространява злонамерени полезни товари, като използва уязвимостта на Microsoft Server Message Block MS17-010 на TCP порт 445. Комбинирайки EternalBlue с друг инструмент за заден ход на NSA, наречен DoublePulsar , нападателите инсталираха прословутата заплаха за рансъмуер WannaCry .

Изследователите обаче откриха друга широкомащабна атака, която също използва EternalBlue и DoublePulsar за заразяване на компютри, но този път с копач на криптовалута, наречен Adylkuzz.

Откритието е направено след умишлено излагане на лабораторна машина, уязвима към EternalBlue. Изследователите на киберсигурността установиха, че устройството се е заразило с DoublePulsar при успешна експлоатация чрез EternalBlue. Тогава DoublePulsar отвори пътя за Adylkuzz да работи от друг хост. След като блокира SMB комуникацията, миньорът определя публичния IP адрес на жертвата и изтегля инструкциите за копаене заедно с определени инструменти за почистване. Adylkuzz е използван за копаене на криптовалутата Monero в този конкретен случай. Наблюдаването на един от няколкото адреса на Monero, свързани с тази атака, разкрива, че добивът е прекратен, след като на този адрес са платени 22 000 долара. Плащанията за копаене на ден, свързани с един конкретен адрес, също показват, че нападателите редовно са превключвали между няколко адреса, за да избегнат прехвърлянето на твърде много монети Monero към един адрес.

Честите симптоми на Adylkuzz включват загуба на достъп до споделени ресурси на Windows и влошена производителност на компютъра. В няколко случая на предполагаеми атаки на WannaCry срещу широкомащабни корпоративни мрежи, липсата на бележка за откуп предполага, че докладваните мрежови проблеми всъщност са били свързани с дейността на Adylkuzz. Изследователите дори твърдят, че статистиката за инсталиране на Adylkuzz предполага много по-значително въздействие от атаката на WannaCry, тъй като миньорът изключва SMB мрежата на засегнатите компютри и по този начин предотвратява инсталирането на допълнителни заплахи за зловреден софтуер чрез същата уязвимост. По този начин Adylkuzz може действително да е ограничил разпространението на WannaCry през този период. По време на разследването са идентифицирани над 20 хоста за сканиране и атака, заедно с над дузина активни сървъри за командване и управление на Adylkuzz.

Понастоящем уязвимостите, използвани от изтеклите хакерски инструменти EternalBlue и DoublePulsar, са коригирани, така че хората и организациите се призовават да поддържат своите Windows компютри актуални по всяко време.