Adylkuzz-niminen kryptovaluuttakaivosmies hyökkää verkkoihin EternalBluen ja DoublePulsarin haittaohjelmien kautta

Vaikka pahamaineinen WannaCry Ransomware nousi kyberturvallisuusuutisissa otsikoihin vuonna 2017, pahantahtoiset toimijat olivat samanaikaisesti käyttäneet samoja hyökkäyksiä levittääkseen Adylkuzz-nimistä kryptovaluuttakaivostyötä. Kuten WannaCry, Adylkuzz käytti vuotaneita NSA-hakkerointityökaluja hyödyntääkseen Microsoft Windows -verkkojen haavoittuvuutta ja estääkseen verkottumisen tartunnan saaneilta laitteilta, mikä sai tutkijat uskomaan, että Adylkuzz edelsi WannaCry-hyökkäyksiä monin tavoin.

Vuonna 2017 massiivisessa kiristysohjelmahyökkäyksessä käytettiin EternalBluea tartuttamaan lähiverkkoja ja langattomia verkkoja maailmanlaajuisesti. EternalBlue on tunnistettu osaksi Shadow Brokersin NSA-hakkerointityökalujen kaatopaikkaa. Se löytää haavoittuvia tietokoneita ja levittää haitallisia hyötykuormia hyödyntämällä Microsoft Server Message Block MS17-010 -haavoittuvuutta TCP-portissa 445. Yhdistämällä EternalBluen toiseen NSA:n takaoven työkaluun nimeltä DoublePulsar , hyökkääjät asensivat pahamaineisen kiristysohjelmauhan WannaCryn .

Tutkijat havaitsivat kuitenkin toisen laajamittaisen hyökkäyksen, jossa myös EternalBlue ja DoublePulsar käytettiin tietokoneiden tartuttamiseen, mutta tällä kertaa Adylkuzz-nimisellä kryptovaluutan louhinnalla.

Löytö tehtiin sen jälkeen, kun EternalBluelle altistunut laboratoriokone oli tarkoituksellisesti altistettu. Kyberturvallisuustutkijat saivat selville, että laite sai DoublePulsar-tartunnan onnistuneen hyödyntämisen EternalBluen kautta. Sitten DoublePulsar avasi Adylkuzzille tien juosta toiselta isännältä. Estettyään SMB-viestinnän kaivosmies määritti uhrin julkisen IP-osoitteen ja latasi kaivosohjeet sekä tietyt puhdistustyökalut. Adylkuzzia on käytetty Moneron kryptovaluutan louhimiseen tässä nimenomaisessa tapauksessa. Tarkastelemalla yhtä useista tähän hyökkäykseen liittyvistä Monero-osoitteista paljastuu, että kaivostoiminta päättyi, kun osoitteeseen oli maksettu 22 000 dollaria. Yhteen tiettyyn osoitteeseen liittyvät päiväkohtaiset kaivosmaksut osoittavat myös, että hyökkääjät vaihtoivat säännöllisesti useiden osoitteiden välillä välttääkseen liian monen Monero-kolikon siirtymisen yhteen osoitteeseen.

Adylkuzzin yleisiä oireita ovat pääsyn menettäminen jaettuihin Windows-resursseihin ja tietokoneen suorituskyvyn heikkeneminen. Useissa tapauksissa, joissa epäiltiin WannaCry-hyökkäyksiä suuria yritysverkkoja vastaan, lunnaita koskevan setelin puuttuminen viittaa siihen, että raportoidut verkko-ongelmat liittyivät todella Adylkuzz-toimintaan. Tutkijat jopa väittävät, että Adylkuzz-asennustilastot viittaavat paljon merkittävämpään vaikutukseen kuin WannaCry-hyökkäys, koska kaivostyöntekijä sulkee SMB-verkon kyseisillä tietokoneilla ja estää siten ylimääräisten haittaohjelmauhkien asennuksen saman haavoittuvuuden kautta. Näin ollen Adylkuzz on saattanut itse asiassa rajoittaa WannaCryn leviämistä tuona aikana. Tutkinnan aikana on tunnistettu yli 20 skannattavaa ja hyökkäävää isäntäkonetta sekä yli tusina aktiivista Adylkuzz Command-and-Control -palvelinta.

Tällä hetkellä vuotaneiden EternalBlue- ja DoublePulsar-hakkerointityökalujen käyttämät haavoittuvuudet on korjattu, joten yksilöitä ja organisaatioita kehotetaan pitämään Windows-tietokoneensa aina ajan tasalla.