Cryptocurrency Miner ved navn 'Adylkuzz' angriber netværk gennem EternalBlue og DoublePulsar Malware

Mens den berygtede WannaCry Ransomware skabte overskrifter i cybersikkerhedsnyhederne i 2017, havde ondsindede aktører samtidig brugt de samme bedrifter til at sprede en cryptocurrency-minearbejder ved navn Adylkuzz. Ligesom WannaCry brugte Adylkuzz lækkede NSA-hacking-værktøjer til at udnytte en Microsoft Windows-netværkssårbarhed og deaktivere netværk på inficerede enheder, hvilket fik forskere til at tro, at Adylkuzz var forud for WannaCry-angreb på mange måder.

I 2017 udnyttede et massivt ransomware-angreb EternalBlue til at inficere LAN'er og trådløse netværk over hele verden. EternalBlue er blevet identificeret som en del af Shadow Brokers-dumpet af NSA-hackingværktøjer. Den opdager sårbare computere og udbreder ondsindede nyttelaster ved at udnytte Microsoft Server Message Block MS17-010-sårbarheden på TCP-port 445. Ved at kombinere EternalBlue med et andet NSA-bagdørsværktøj kaldet DoublePulsar installerede angribere den berygtede ransomware-trussel WannaCry .

Forskere opdagede dog et andet storstilet angreb, der også brugte både EternalBlue og DoublePulsar til at inficere computere, men denne gang med en cryptocurrency-minearbejder ved navn Adylkuzz.

Opdagelsen blev gjort efter bevidst at have afsløret en laboratoriemaskine, der er sårbar over for EternalBlue. Cybersikkerhedsforskere fandt ud af, at enheden blev inficeret med DoublePulsar efter vellykket udnyttelse gennem EternalBlue. Så åbnede DoublePulsar vejen for, at Adylkuzz kunne løbe fra en anden vært. Efter at have blokeret SMB-kommunikation, bestemte minearbejderen offerets offentlige IP-adresse og downloadede minedriftsinstruktionerne sammen med visse oprydningsværktøjer. Adylkuzz er blevet brugt til at mine Monero-kryptovalutaen i dette særlige tilfælde. At observere en af de adskillige Monero-adresser, der er forbundet med dette angreb, afslører, at minedriften ophørte, efter at $22.000 blev betalt til den adresse. Minebetalingerne pr. dag forbundet med én specifik adresse viser også, at angriberne jævnligt skiftede mellem flere adresser for at undgå, at for mange Monero-mønter blev overført til en enkelt adresse.

Almindelige symptomer på Adylkuzz omfatter mistet adgang til delte Windows-ressourcer og forringet pc-ydeevne. I flere tilfælde af formodede WannaCry-angreb på store virksomhedsnetværk, indebærer manglen på en løsesumseddel, at de rapporterede netværksproblemer faktisk var forbundet med Adylkuzz-aktivitet. Forskere hævder endda, at Adylkuzz-installationsstatistikkerne tyder på en meget mere signifikant effekt end WannaCry-angrebet, da minearbejderen lukker ned for SMB-netværk på berørte computere og dermed forhindrer installationen af yderligere malware-trusler gennem den samme sårbarhed. Således kan Adylkuzz faktisk have begrænset WannaCry-udbredelsen i den periode. Over 20 værter til at scanne og angribe er blevet identificeret under undersøgelsen, sammen med over et dusin aktive Adylkuzz Command-and-Control-servere.

I øjeblikket er de sårbarheder, der udnyttes af de lækkede EternalBlue- og DoublePulsar-hackingværktøjer, blevet rettet, så enkeltpersoner og organisationer opfordres til at holde deres Windows-computere opdaterede til enhver tid.