Rudar kriptovalute nazvan 'Adylkuzz' napada mreže putem zlonamjernog softvera EternalBlue i DoublePulsar

Dok je zloglasni WannaCry Ransomware dospio na naslovnice vijesti o kibernetičkoj sigurnosti 2017., zlonamjerni su akteri istovremeno koristili iste eksploatacije za širenje rudara kriptovalute po imenu Adylkuzz. Kao i WannaCry, Adylkuzz je koristio procurile NSA alate za hakiranje kako bi iskoristio mrežnu ranjivost sustava Microsoft Windows i onemogućio umrežavanje na zaraženim uređajima, zbog čega istraživači vjeruju da je Adylkuzz prethodio napadima WannaCry na mnogo načina.

U 2017. masivni ransomware napad iskoristio je EternalBlue za zarazu LAN-ova i bežičnih mreža diljem svijeta. EternalBlue je identificiran kao dio Shadow Brokers deponija NSA hakerskih alata. Otkriva ranjiva računala i širi zlonamjerne sadržaje iskorištavanjem ranjivosti Microsoft Server Message Block MS17-010 na TCP priključku 445. Kombinirajući EternalBlue s drugim NSA backdoor alatom nazvanim DoublePulsar , napadači su instalirali ozloglašenu ransomware prijetnju WannaCry .

Međutim, istraživači su otkrili još jedan napad velikih razmjera koji je također koristio EternalBlue i DoublePulsar za zarazu računala, ali ovaj put s rudarom kriptovalute pod nazivom Adylkuzz.

Do otkrića je došlo nakon namjernog izlaganja laboratorijskog stroja ranjivog na EternalBlue. Istraživači kibernetičke sigurnosti otkrili su da se uređaj zarazio DoublePulsarom nakon uspješnog iskorištavanja putem EternalBluea. Tada je DoublePulsar otvorio put Adylkuzzu da radi s drugog hosta. Nakon blokiranja SMB komunikacije, rudar je odredio javnu IP adresu žrtve i preuzeo upute za rudarenje zajedno s određenim alatima za čišćenje. Adylkuzz je korišten za rudarenje kriptovalute Monero u ovom konkretnom slučaju. Promatranje jedne od nekoliko Monero adresa povezanih s ovim napadom otkriva da je rudarenje prestalo nakon što je na tu adresu plaćeno 22.000 dolara. Dnevna plaćanja rudarenja povezana s jednom specifičnom adresom također pokazuju da su se napadači redovito prebacivali između nekoliko adresa kako bi izbjegli da se previše Monero kovanica prenese na jednu adresu.

Uobičajeni simptomi Adylkuzza uključuju gubitak pristupa dijeljenim Windows resursima i pogoršanje performansi računala. U nekoliko slučajeva navodnih napada WannaCry na velike korporativne mreže, nedostatak obavijesti o otkupnini implicira da su prijavljeni problemi s mrežom zapravo povezani s aktivnošću Adylkuzza. Istraživači čak tvrde da statistika instaliranja Adylkuzza sugerira puno značajniji utjecaj od napada WannaCry jer rudar isključuje SMB umrežavanje na pogođenim računalima i na taj način sprječava instalaciju dodatnih prijetnji zlonamjernog softvera kroz istu ranjivost. Stoga je Adylkuzz možda zapravo ograničio širenje WannaCryja tijekom tog razdoblja. Preko 20 hostova za skeniranje i napad identificirano je tijekom istrage, zajedno s više od desetak aktivnih Adylkuzz Command-and-Control Servera.

Trenutno su zakrpane ranjivosti koje iskorištavaju procurili alati za hakiranje EternalBlue i DoublePulsar, pa se pojedinci i organizacije pozivaju da svoja Windows računala uvijek ažuriraju.