כורה מטבעות קריפטו בשם 'Adylkuzz' תוקף רשתות באמצעות EternalBlue ו-DoublePulsar Malware

בעוד ש-WannaCry Ransomware הידועה לשמצה עלתה לכותרות בחדשות אבטחת הסייבר ב-2017, שחקנים זדוניים השתמשו בו-זמנית באותם מעללים כדי להפיץ כורה מטבעות קריפטוגרפיים בשם Adylkuzz. בדומה ל-WannaCry, Adylkuzz השתמש בכלי פריצה של NSA שדלפו כדי למנף פגיעות ברשת של Microsoft Windows ולהשבית את הרשת במכשירים נגועים, מה שגורם לחוקרים להאמין שאדילקוזז קדמה להתקפות WannaCry במובנים רבים.

בשנת 2017, מתקפת תוכנת כופר מאסיבית ניצלה את EternalBlue כדי להדביק רשתות LAN ורשתות אלחוטיות ברחבי העולם. EternalBlue זוהה כחלק מהמזבלה של Shadow Brokers של כלי הפריצה של NSA. הוא מגלה מחשבים פגיעים ומפיץ עומסים זדוניים על ידי מינוף הפגיעות של Microsoft Server Message Block MS17-010 ביציאת TCP 445. בשילוב של EternalBlue עם כלי אחר של NSA לדלת אחורית בשם DoublePulsar , התוקפים התקינו את איום תוכנת הכופר הידוע לשמצה WannaCry .

עם זאת, חוקרים זיהו מתקפה נוספת בקנה מידה גדול שהפעילה גם את EternalBlue וגם DoublePulsar כדי להדביק מחשבים, אך הפעם עם כורה מטבעות קריפטוגרפיים בשם Adylkuzz.

התגלית התגלתה לאחר חשיפת מכוון של מכונת מעבדה פגיעה ל-EternalBlue. חוקרי אבטחת סייבר גילו שהמכשיר נדבק ב-DoublePulsar לאחר ניצול מוצלח באמצעות EternalBlue. לאחר מכן, DoublePulsar פתח את הדרך עבור Adylkuzz לברוח ממארח אחר. לאחר חסימת תקשורת SMB, הכורה קבע את כתובת ה-IP הציבורית של הקורבן והוריד את הוראות הכרייה יחד עם כלי ניקוי מסוימים. Adylkuzz שימש לכריית המטבע הקריפטוגרפי Monero במקרה הספציפי הזה. התבוננות באחת ממספר כתובות Monero הקשורות להתקפה זו מגלה שהכרייה הופסקה לאחר ששולמו 22,000$ לכתובת זו. תשלומי הכרייה ליום הקשורים לכתובת ספציפית אחת מראים גם שהתוקפים עברו באופן קבוע בין מספר כתובות כדי למנוע העברת מטבעות Monero יותר מדי לכתובת אחת.

התסמינים הנפוצים של Adylkuzz כוללים איבוד גישה למשאבי Windows משותפים והידרדרות בביצועי המחשב. במספר מקרים של חשד להתקפות WannaCry על רשתות ארגוניות בקנה מידה גדול, היעדר פתק כופר מרמז שבעיות הרשת המדווחות היו קשורות למעשה לפעילות Adylkuzz. חוקרים אף טוענים שסטטיסטיקות ההתקנה של Adylkuzz מצביעות על השפעה הרבה יותר משמעותית מהתקפת WannaCry, שכן הכורה מכבה את רשת SMB במחשבים המושפעים ובכך מונע התקנת איומי תוכנה זדונית נוספים באמצעות אותה פגיעות. לפיכך, ייתכן ש-Adylkuzz למעשה הגביל את התפשטות WannaCry במהלך אותה תקופה. במהלך החקירה זוהו יותר מ-20 מארחים לסריקה ולתקיפה, יחד עם למעלה מתריסר שרתי פיקוד ובקרה פעילים של Adylkuzz.

נכון לעכשיו, נקודות התורפה המנוצלות על ידי כלי הפריצה EternalBlue ו-DoublePulsar שדלפו טופלו, כך שאנשים וארגונים מתבקשים לשמור את מחשבי ה-Windows שלהם מעודכנים בכל עת.