Il minatore di criptovalute chiamato "Adylkuzz" attacca le reti tramite EternalBlue e DoublePulsar Malware

Mentre il famigerato WannaCry Ransomware ha fatto notizia nelle notizie sulla sicurezza informatica nel 2017, attori malintenzionati hanno utilizzato contemporaneamente gli stessi exploit per diffondere un minatore di criptovaluta chiamato Adylkuzz. Come WannaCry, Adylkuzz ha utilizzato strumenti di hacking della NSA trapelati per sfruttare una vulnerabilità di rete di Microsoft Windows e disabilitare la rete sui dispositivi infetti, facendo credere ai ricercatori che Adylkuzz fosse antecedente agli attacchi WannaCry in molti modi.

Nel 2017, un massiccio attacco ransomware ha sfruttato EternalBlue per infettare LAN e reti wireless in tutto il mondo. EternalBlue è stato identificato come parte del dump di Shadow Brokers degli strumenti di hacking della NSA. Rileva i computer vulnerabili e propaga payload dannosi sfruttando la vulnerabilità Microsoft Server Message Block MS17-010 sulla porta TCP 445. Combinando EternalBlue con un altro strumento backdoor della NSA chiamato DoublePulsar , gli aggressori hanno installato la famigerata minaccia ransomware WannaCry .

Tuttavia, i ricercatori hanno rilevato un altro attacco su larga scala che ha impiegato anche EternalBlue e DoublePulsar per infettare i computer, questa volta con un minatore di criptovalute chiamato Adylkuzz.

La scoperta è stata fatta dopo aver deliberatamente esposto una macchina da laboratorio vulnerabile a EternalBlue. I ricercatori della sicurezza informatica hanno scoperto che il dispositivo è stato infettato da DoublePulsar dopo averlo sfruttato con successo tramite EternalBlue. Quindi, DoublePulsar ha aperto la strada ad Adylkuzz per eseguire da un altro host. Dopo aver bloccato la comunicazione SMB, il minatore ha determinato l'indirizzo IP pubblico della vittima e ha scaricato le istruzioni di mining insieme ad alcuni strumenti di pulizia. Adylkuzz è stato utilizzato per estrarre la criptovaluta Monero in questo caso particolare. L'osservazione di uno dei numerosi indirizzi Monero associati a questo attacco rivela che il mining è cessato dopo che $ 22.000 sono stati pagati a quell'indirizzo. I pagamenti di mining giornalieri associati a un indirizzo specifico mostrano anche che gli aggressori passavano regolarmente da un indirizzo all'altro per evitare che troppe monete Monero venissero trasferite a un unico indirizzo.

I sintomi comuni di Adylkuzz includono la perdita dell'accesso alle risorse Windows condivise e il deterioramento delle prestazioni del PC. In diversi casi di sospetti attacchi WannaCry a reti aziendali su larga scala, la mancanza di una richiesta di riscatto implica che i problemi di rete segnalati fossero effettivamente associati all'attività di Adylkuzz. I ricercatori affermano persino che le statistiche di installazione di Adylkuzz suggeriscono un impatto molto più significativo dell'attacco WannaCry poiché il minatore interrompe la rete SMB sui computer interessati e quindi impedisce l'installazione di ulteriori minacce malware attraverso la stessa vulnerabilità. Pertanto, Adylkuzz potrebbe aver effettivamente limitato la propagazione di WannaCry durante quel periodo. Durante le indagini sono stati identificati oltre 20 host da scansionare e attaccare, insieme a oltre una dozzina di server di comando e controllo Adylkuzz attivi.

Attualmente, le vulnerabilità sfruttate dagli strumenti di hacking EternalBlue e DoublePulsar trapelati sono state corrette, quindi le persone e le organizzazioni sono invitate a mantenere sempre aggiornati i propri computer Windows.