Krüptoraha kaevandaja nimega "Adylkuzz" ründab võrke EternalBlue'i ja DoublePulsari pahavara kaudu

Kui kurikuulus WannaCry Ransomware jõudis 2017. aastal küberjulgeolekuuudiste pealkirjadesse, olid pahatahtlikud osalejad samaaegselt kasutanud samu võtteid Adylkuzzi-nimelise krüptoraha kaevandaja levitamiseks. Nagu WannaCry, kasutas Adylkuzz lekkinud NSA häkkimistööriistu, et kasutada ära Microsoft Windowsi võrgu haavatavus ja keelata nakatunud seadmetes võrguühendus, pannes teadlased uskuma, et Adylkuzz oli mitmel viisil enne WannaCry rünnakuid.

2017. aastal kasutas massiline lunavararünnak EternalBlue'i , et nakatada kohtvõrke ja traadita võrke kogu maailmas. EternalBlue on tuvastatud osana Shadow Brokersi NSA häkkimistööriistade prügist. See avastab haavatavad arvutid ja levitab pahatahtlikku koormust, võimendades Microsoft Serveri sõnumiploki MS17-010 haavatavust TCP-pordis 445. Kombineerides EternalBlue'i teise NSA tagaukse tööriistaga DoublePulsar , installisid ründajad kurikuulsa lunavaraohu WannaCry .

Teadlased avastasid aga veel ühe suuremahulise rünnaku, mis kasutas arvutite nakatamiseks nii EternalBlue'i kui ka DoublePulsari, kuid seekord Adylkuzzi nimelise krüptoraha kaevandajaga.

Avastus tehti pärast EternalBlue'i suhtes haavatava labori masina tahtlikku paljastamist. Küberjulgeoleku teadlased avastasid, et seade nakatus DoublePulsariga pärast EternalBlue'i edukat kasutamist. Seejärel avas DoublePulsar Adylkuzzile tee teisest hostist. Pärast SMB-side blokeerimist määras kaevandaja ohvri avaliku IP-aadressi ja laadis alla kaevandamisjuhised koos teatud puhastusvahenditega. Antud juhul on Monero krüptovaluuta kaevandamiseks kasutatud Adylkuzzi. Vaadeldes ühte mitmest selle rünnakuga seotud Monero aadressist, selgub, et kaevandamine lõppes pärast seda, kui sellele aadressile maksti 22 000 dollarit. Ühe konkreetse aadressiga seotud kaevandamismaksed päevas näitavad ka seda, et ründajad vahetasid regulaarselt mitme aadressi vahel, et vältida liiga paljude Monero müntide ühele aadressile ülekandmist.

Adylkuzzi levinud sümptomid on juurdepääsu kaotamine jagatud Windowsi ressurssidele ja arvuti jõudluse halvenemine. Mitmel juhul, kui kahtlustatakse WannaCry rünnakuid suuremahuliste ettevõtete võrkude vastu, viitab lunaraha puudumine sellele, et teatatud võrguprobleemid olid tegelikult seotud Adylkuzzi tegevusega. Teadlased väidavad isegi, et Adylkuzzi installistatistika viitab palju olulisemale mõjule kui WannaCry rünnak, kuna kaevandaja sulgeb mõjutatud arvutites SMB võrgu ja takistab seega täiendavate pahavaraohtude installimist sama haavatavuse kaudu. Seega võis Adylkuzz tegelikult piirata WannaCry levikut sel perioodil. Uurimise käigus tuvastati üle 20 skannimiseks ja ründamiseks mõeldud hosti ning üle tosina aktiivse Adylkuzzi juhtimis- ja juhtimisserveri.

Praegu on lekkinud EternalBlue'i ja DoublePulsari häkkimistööriistade poolt ära kasutatud haavatavused paigatud, seega kutsutakse üksikisikuid ja organisatsioone üles hoidma oma Windowsi arvuteid pidevalt ajakohasena.