El miner de criptomonedes anomenat "Adylkuzz" ataca les xarxes mitjançant programari maliciós EternalBlue i DoublePulsar

Mentre que l'infame WannaCry Ransomware va ser titular a les notícies de ciberseguretat el 2017, actors maliciosos havien estat utilitzant simultàniament les mateixes habilitats per difondre un miner de criptomoneda anomenat Adylkuzz. Igual que WannaCry, Adylkuzz va utilitzar eines de pirateria de la NSA filtrades per aprofitar una vulnerabilitat de xarxa de Microsoft Windows i desactivar la xarxa en dispositius infectats, fent que els investigadors creguessin que Adylkuzz va ser anterior als atacs de WannaCry de moltes maneres.

El 2017, un atac massiu de ransomware va explotar EternalBlue per infectar LAN i xarxes sense fil a tot el món. EternalBlue s'ha identificat com a part de l'abocador de Shadow Brokers d'eines de pirateria de la NSA. Descobreix ordinadors vulnerables i propaga càrregues útils malicioses aprofitant la vulnerabilitat de Microsoft Server Message Block MS17-010 al port TCP 445. Combinant EternalBlue amb una altra eina de porta posterior de la NSA anomenada DoublePulsar , els atacants van instal·lar la notòria amenaça de ransomware WannaCry .

Tanmateix, els investigadors van detectar un altre atac a gran escala que també utilitzava EternalBlue i DoublePulsar per infectar ordinadors, però aquesta vegada amb un miner de criptomoneda anomenat Adylkuzz.

El descobriment es va fer després d'exposar deliberadament una màquina de laboratori vulnerable a EternalBlue. Els investigadors de ciberseguretat van descobrir que el dispositiu es va infectar amb DoublePulsar després d'una explotació reeixida a través d'EternalBlue. Aleshores, DoublePulsar va obrir el camí perquè Adylkuzz funcionés des d'un altre amfitrió. Després de bloquejar la comunicació SMB, el miner va determinar l'adreça IP pública de la víctima i va descarregar les instruccions de mineria juntament amb determinades eines de neteja. Adylkuzz s'ha utilitzat per extreure la criptomoneda Monero en aquest cas concret. L'observació d'una de les diverses adreces de Monero associades amb aquest atac revela que la mineria va cessar després que es paguessin 22.000 dòlars a aquesta adreça. Els pagaments de mineria per dia associats amb una adreça específica també mostren que els atacants canviaven regularment entre diverses adreces per evitar que es transfereixin massa monedes Monero a una sola adreça.

Els símptomes habituals d'Adylkuzz inclouen la pèrdua d'accés als recursos compartits de Windows i el deteriorament del rendiment de l'ordinador. En diversos casos de sospitosos atacs de WannaCry a xarxes corporatives a gran escala, la manca d'una nota de rescat implica que els problemes de xarxa denunciats estaven realment associats amb l'activitat d'Adylkuzz. Els investigadors fins i tot afirmen que les estadístiques d'instal·lació d'Adylkuzz suggereixen un impacte molt més significatiu que l'atac de WannaCry, ja que el miner tanca les xarxes SMB als ordinadors afectats i, per tant, evita la instal·lació d'amenaces de programari maliciós addicionals a través de la mateixa vulnerabilitat. Per tant, Adylkuzz pot haver limitat la propagació de WannaCry durant aquest període. Durant la investigació s'han identificat més de 20 amfitrions per escanejar i atacar, juntament amb més d'una dotzena de servidors de comandament i control actius d'Adylkuzz.

Actualment, s'han corregit les vulnerabilitats explotades per les eines de pirateria EternalBlue i DoublePulsar filtrades, de manera que es demana a les persones i organitzacions que mantinguin els seus ordinadors Windows actualitzats en tot moment.