Ο εξορύκτης κρυπτονομισμάτων με το όνομα «Adylkuzz» επιτίθεται σε δίκτυα μέσω κακόβουλου λογισμικού EternalBlue και DoublePulsar

Ενώ το διαβόητο WannaCry Ransomware έγινε πρωτοσέλιδο στις ειδήσεις για την ασφάλεια στον κυβερνοχώρο το 2017, κακόβουλοι ηθοποιοί χρησιμοποιούσαν ταυτόχρονα τα ίδια κατορθώματα για να διαδώσουν έναν εξορύκτη κρυπτονομισμάτων με το όνομα Adylkuzz. Όπως το WannaCry, το Adylkuzz χρησιμοποίησε εργαλεία χάκερ της NSA που διέρρευσαν για να αξιοποιήσει μια ευπάθεια δικτύωσης των Microsoft Windows και να απενεργοποιήσει τη δικτύωση σε μολυσμένες συσκευές, κάνοντας τους ερευνητές να πιστεύουν ότι το Adylkuzz προϋπήρχε των επιθέσεων WannaCry με πολλούς τρόπους.

Το 2017, μια τεράστια επίθεση ransomware εκμεταλλεύτηκε το EternalBlue για να μολύνει LAN και ασύρματα δίκτυα σε όλο τον κόσμο. Το EternalBlue έχει αναγνωριστεί ως μέρος των εργαλείων hacking της NSA από τους Shadow Brokers. Ανακαλύπτει ευάλωτους υπολογιστές και διαδίδει κακόβουλα ωφέλιμα φορτία αξιοποιώντας την ευπάθεια Microsoft Server Message Block MS17-010 στη θύρα TCP 445. Συνδυάζοντας το EternalBlue με ένα άλλο εργαλείο backdoor της NSA που ονομάζεται DoublePulsar , οι εισβολείς εγκατέστησαν την περιβόητη απειλή ransomware WannaCry .

Ωστόσο, οι ερευνητές εντόπισαν μια άλλη επίθεση μεγάλης κλίμακας που χρησιμοποίησε επίσης τόσο το EternalBlue όσο και το DoublePulsar για να μολύνει υπολογιστές, αλλά αυτή τη φορά με έναν εξορύκτη κρυπτονομισμάτων που ονομάζεται Adylkuzz.

Η ανακάλυψη έγινε μετά από σκόπιμη έκθεση ενός εργαστηριακού μηχανήματος ευάλωτο στο EternalBlue. Ερευνητές κυβερνοασφάλειας ανακάλυψαν ότι η συσκευή μολύνθηκε με το DoublePulsar μετά την επιτυχή εκμετάλλευση μέσω του EternalBlue. Στη συνέχεια, το DoublePulsar άνοιξε τον δρόμο για το Adylkuzz να τρέξει από άλλον οικοδεσπότη. Αφού απέκλεισε την επικοινωνία SMB, ο εξορύκτης προσδιόρισε τη δημόσια διεύθυνση IP του θύματος και κατέβασε τις οδηγίες εξόρυξης μαζί με ορισμένα εργαλεία καθαρισμού. Το Adylkuzz έχει χρησιμοποιηθεί για την εξόρυξη του κρυπτονομίσματος Monero στη συγκεκριμένη περίπτωση. Παρατηρώντας μία από τις πολλές διευθύνσεις Monero που σχετίζονται με αυτήν την επίθεση αποκαλύπτεται ότι η εξόρυξη σταμάτησε μετά την πληρωμή 22.000 $ σε αυτήν τη διεύθυνση. Οι πληρωμές εξόρυξης ανά ημέρα που σχετίζονται με μια συγκεκριμένη διεύθυνση δείχνουν επίσης ότι οι εισβολείς εναλλάσσονταν τακτικά μεταξύ πολλών διευθύνσεων για να αποφύγουν τη μεταφορά πολλών νομισμάτων Monero σε μία μόνο διεύθυνση.

Τα κοινά συμπτώματα του Adylkuzz περιλαμβάνουν την απώλεια πρόσβασης σε κοινόχρηστους πόρους των Windows και την επιδείνωση της απόδοσης του υπολογιστή. Σε αρκετές περιπτώσεις ύποπτων επιθέσεων WannaCry σε εταιρικά δίκτυα μεγάλης κλίμακας, η έλλειψη σημείωσης λύτρων υποδηλώνει ότι τα αναφερόμενα ζητήματα δικτύωσης σχετίζονταν στην πραγματικότητα με τη δραστηριότητα του Adylkuzz. Οι ερευνητές ισχυρίζονται μάλιστα ότι τα στατιστικά εγκατάστασης του Adylkuzz υποδηλώνουν πολύ πιο σημαντικό αντίκτυπο από την επίθεση WannaCry καθώς ο εξορύκτης τερματίζει τη δικτύωση SMB σε υπολογιστές που επηρεάζονται και έτσι αποτρέπει την εγκατάσταση πρόσθετων απειλών κακόβουλου λογισμικού μέσω της ίδιας ευπάθειας. Έτσι, ο Adylkuzz μπορεί να περιόρισε πραγματικά τη διάδοση του WannaCry κατά τη διάρκεια αυτής της περιόδου. Πάνω από 20 κεντρικοί υπολογιστές για σάρωση και επίθεση έχουν εντοπιστεί κατά τη διάρκεια της έρευνας, μαζί με πάνω από δώδεκα ενεργούς διακομιστές εντολών και ελέγχου Adylkuzz.

Επί του παρόντος, οι ευπάθειες που εκμεταλλεύονται τα εργαλεία εισβολής EternalBlue και DoublePulsar που διέρρευσαν έχουν διορθωθεί, επομένως τα άτομα και οι οργανισμοί καλούνται να διατηρούν πάντα ενημερωμένους τους υπολογιστές τους με Windows.