Az Adylkuzz nevű kriptovaluta bányász az EternalBlue és a DoublePulsar rosszindulatú szoftvereken keresztül támadja meg a hálózatokat

Míg a hírhedt WannaCry Ransomware 2017-ben a kiberbiztonsági hírek címoldalára került, a rosszindulatú szereplők egyidejűleg ugyanazokat a támadásokat használták egy Adylkuzz nevű kriptovaluta bányász terjesztésére. A WannaCry-hez hasonlóan az Adylkuzz is kiszivárgott NSA hackereszközöket használt, hogy kihasználja a Microsoft Windows hálózati sebezhetőségét és letiltja a hálózatot a fertőzött eszközökön, így a kutatók úgy vélik, hogy az Adylkuzz sok szempontból megelőzte a WannaCry támadásokat.

2017-ben egy hatalmas ransomware támadás az EternalBlue -t kihasználva fertőzte meg a LAN-okat és a vezeték nélküli hálózatokat világszerte. Az EternalBlue-t az NSA hackereszközök Shadow Brokers gyűjteményének részeként azonosították. Felfedezi a sebezhető számítógépeket, és a Microsoft Server Message Block MS17-010 biztonsági résének kihasználásával a 445-ös TCP-porton rosszindulatú anyagokat terjeszt. Az EternalBlue-t egy másik, DoublePulsar nevű NSA hátsó ajtóeszközzel kombinálva a támadók telepítették a hírhedt ransomware-fenyegetést, a WannaCry-t .

A kutatók azonban egy másik nagyszabású támadást is észleltek, amely az EternalBlue-t és a DoublePulsar-t is felhasználta a számítógépek megfertőzésére, ezúttal azonban egy Adylkuzz nevű kriptovaluta bányászsal.

A felfedezésre azt követően került sor, hogy szándékosan tettek ki egy laboratóriumi gépet, amely sebezhető az EternalBlue-val. A kiberbiztonsági kutatók rájöttek, hogy az eszközt az EternalBlue-n keresztüli sikeres kihasználás után fertőzte meg a DoublePulsar. Ezután a DoublePulsar megnyitotta az utat az Adylkuzz számára, hogy egy másik gazdagéptől fusson. Az SMB-kommunikáció blokkolása után a bányász meghatározta az áldozat nyilvános IP-címét, és letöltötte a bányászati utasításokat bizonyos tisztítóeszközökkel együtt. Ebben a konkrét esetben az Adylkuzzt használták a Monero kriptovaluta bányászására. A támadáshoz kapcsolódó Monero-címek egyikének megfigyelése azt mutatja, hogy a bányászat azután szűnt meg, hogy 22 000 dollárt fizettek erre a címre. Az egy adott címhez kapcsolódó napi bányászati kifizetések azt is mutatják, hogy a támadók rendszeresen váltottak több cím között, hogy elkerüljék, hogy túl sok Monero-érme kerüljön egyetlen címre.

Az Adylkuzz gyakori tünetei közé tartozik a megosztott Windows-erőforrásokhoz való hozzáférés elvesztése és a számítógép teljesítményének romlása. A nagyszabású vállalati hálózatok elleni feltételezett WannaCry-támadások több esetben a váltságdíj hiánya arra utal, hogy a bejelentett hálózati problémák valójában az Adylkuzz-tevékenységhez kapcsolódnak. A kutatók még azt is állítják, hogy az Adylkuzz telepítési statisztikái sokkal jelentősebb hatást sugallnak, mint a WannaCry támadás, mivel a bányász leállítja az SMB-hálózatot az érintett számítógépeken, és így megakadályozza a további rosszindulatú programok telepítését ugyanazon a sérülékenységen keresztül. Így az Adylkuzz valóban korlátozhatta a WannaCry terjedését abban az időszakban. A vizsgálat során több mint 20 vizsgálandó és támadható gazdagépet azonosítottak, valamint több mint egy tucat aktív Adylkuzz Command-and-Control szervert.

Jelenleg a kiszivárgott EternalBlue és DoublePulsar hackereszközök által kihasznált sérülékenységeket javították, ezért arra kérik az egyéneket és a szervezeteket, hogy Windows számítógépeiket mindig naprakészen tartsák.