Cryptocurrency Miner s názvem „Adylkuzz“ útočí na sítě prostřednictvím malwaru EternalBlue a DoublePulsar

Zatímco nechvalně známý WannaCry Ransomware se dostal do titulků zpráv o kybernetické bezpečnosti v roce 2017, zákeřní aktéři současně používali stejné exploity k šíření těžaře kryptoměn jménem Adylkuzz. Stejně jako WannaCry, Adylkuzz použil uniklé hackerské nástroje NSA k využití síťové zranitelnosti Microsoft Windows a deaktivaci sítě na infikovaných zařízeních, takže vědci věřili, že Adylkuzz v mnoha ohledech předcházel útokům WannaCry.

V roce 2017 masivní ransomwarový útok zneužil EternalBlue k infikování LAN a bezdrátových sítí po celém světě. EternalBlue byl identifikován jako součást výpisu hackerských nástrojů NSA Shadow Brokers. Zjišťuje zranitelné počítače a šíří škodlivou zátěž využitím zranitelnosti Microsoft Server Message Block MS17-010 na TCP portu 445. Kombinací EternalBlue s dalším backdoor nástrojem NSA s názvem DoublePulsar nainstalovali útočníci notoricky známou ransomwarovou hrozbu WannaCry .

Výzkumníci však odhalili další rozsáhlý útok, který také využíval EternalBlue a DoublePulsar k infikování počítačů, tentokrát však s těžařem kryptoměn jménem Adylkuzz.

Objev byl učiněn poté, co byl záměrně vystaven laboratorní stroj zranitelný vůči EternalBlue. Výzkumníci v oblasti kybernetické bezpečnosti zjistili, že zařízení bylo infikováno DoublePulsarem po úspěšném zneužití prostřednictvím EternalBlue. Poté DoublePulsar otevřel Adylkuzzovi cestu k útěku z jiného hostitele. Po zablokování komunikace SMB těžař určil veřejnou IP adresu oběti a stáhl si pokyny k těžbě spolu s určitými nástroji pro čištění. Adylkuzz byl v tomto konkrétním případě použit k těžbě kryptoměny Monero. Pozorování jedné z několika adres Monero spojených s tímto útokem ukazuje, že těžba skončila poté, co bylo na tuto adresu zaplaceno 22 000 $. Platby za těžbu za den spojené s jednou konkrétní adresou také ukazují, že útočníci pravidelně přecházeli mezi několika adresami, aby se na jednu adresu nepřeneslo příliš mnoho mincí Monero.

Mezi běžné příznaky Adylkuzz patří ztráta přístupu ke sdíleným prostředkům Windows a zhoršující se výkon počítače. V několika případech podezřelých útoků WannaCry na rozsáhlé podnikové sítě nedostatek výkupného naznačuje, že hlášené problémy se sítí byly ve skutečnosti spojeny s aktivitou Adylkuzz. Výzkumníci dokonce tvrdí, že statistiky instalací Adylkuzz naznačují mnohem významnější dopad než útok WannaCry, protože těžař vypne SMB sítě na postižených počítačích a zabrání tak instalaci dalších malwarových hrozeb prostřednictvím stejné zranitelnosti. Adylkuzz tedy ve skutečnosti během tohoto období omezil šíření WannaCry. Během vyšetřování bylo identifikováno více než 20 hostitelů, kteří mají skenovat a útočit, spolu s více než tuctem aktivních příkazových a řídicích serverů Adylkuzz.

V současné době byly opraveny zranitelnosti zneužívané uniklými hackerskými nástroji EternalBlue a DoublePulsar, takže jednotlivci a organizace jsou vyzýváni, aby své počítače s Windows udržovali vždy aktuální.