Kriptovaliutų kasėjas, pavadintas „Adylkuzz“, atakuoja tinklus per „EternalBlue“ ir „DoublePulsar“ kenkėjiškas programas

Nors liūdnai pagarsėjęs WannaCry Ransomware 2017 m. pateko į kibernetinio saugumo naujienų antraštes, piktybiniai veikėjai tuo pačiu metu naudojo tuos pačius išnaudojimus, kad išplatintų kriptovaliutų kasėją Adylkuzz. Kaip ir „WannaCry“, „Adylkuzz“ naudojo nutekėjusius NSA įsilaužimo įrankius , kad padidintų „Microsoft Windows“ tinklo pažeidžiamumą ir išjungtų tinklą užkrėstuose įrenginiuose, todėl mokslininkai mano, kad „Adylkuzz “ daugeliu atžvilgių buvo prieš WannaCry atakas.

2017 m. didžiulė išpirkos reikalaujančių programų ataka išnaudojo „EternalBlue “, kad užkrėstų LAN ir belaidžius tinklus visame pasaulyje. „EternalBlue“ buvo nustatyta kaip „Shadow Brokers“ NSA įsilaužimo įrankių sąvartyno dalis. Jis aptinka pažeidžiamus kompiuterius ir platina kenksmingas apkrovas, panaudodamas „Microsoft Server Message Block MS17-010“ pažeidžiamumą TCP prievade 445. Sujungę „EternalBlue“ su kitu NSA užpakalinių durų įrankiu, vadinamu „ DoublePulsar “, užpuolikai įdiegė liūdnai pagarsėjusią „ransomware“ grėsmę „WannaCry“ .

Tačiau mokslininkai aptiko dar vieną didelio masto ataką, kurios metu kompiuteriams buvo užkrėsti ir EternalBlue, ir DoublePulsar, tačiau šį kartą su kriptovaliutų kasykla, vadinama Adylkuzz.

Atradimas buvo padarytas tyčia atidengus laboratorinę mašiną, pažeidžiamą EternalBlue. Kibernetinio saugumo tyrėjai išsiaiškino, kad įrenginys buvo užkrėstas „DoublePulsar“ sėkmingai išnaudojus „EternalBlue“. Tada „DoublePulsar“ atvėrė „Adylkuzz“ kelią iš kito pagrindinio kompiuterio. Užblokavęs SMB ryšį, kalnakasys nustatė aukos viešąjį IP adresą ir atsisiuntė kasybos instrukcijas kartu su tam tikrais valymo įrankiais. Šiuo konkrečiu atveju „Adylkuzz“ buvo naudojamas išgaunant Monero kriptovaliutą. Stebint vieną iš kelių Monero adresų, susijusių su šia ataka, paaiškėja, kad kasyba buvo nutraukta po to, kai tuo adresu buvo sumokėta 22 000 USD. Kasybos mokėjimai per dieną, susiję su vienu konkrečiu adresu, taip pat rodo, kad užpuolikai reguliariai perjungdavo kelis adresus, kad per daug Monero monetų nebūtų perkeliama į vieną adresą.

Dažni Adylkuzz simptomai yra prarasta prieiga prie bendrų Windows išteklių ir prastėjantis kompiuterio našumas. Keliais įtariamų WannaCry atakų prieš didelio masto įmonių tinklus atvejais išpirkos raštelio nebuvimas reiškia, kad praneštos tinklo problemos iš tikrųjų buvo susijusios su Adylkuzz veikla. Tyrėjai netgi teigia, kad Adylkuzz diegimo statistika rodo daug didesnį poveikį nei WannaCry ataka, nes kalnakasys išjungia SMB tinklą paveiktuose kompiuteriuose ir taip neleidžia įdiegti papildomų kenkėjiškų programų grėsmių per tą patį pažeidžiamumą. Taigi, „Adylkuzz“ iš tikrųjų galėjo apriboti „WannaCry“ plitimą tuo laikotarpiu. Tyrimo metu buvo nustatyta daugiau nei 20 kompiuterių, kuriuos reikia nuskaityti ir atakuoti, taip pat daugiau nei tuzinas aktyvių „Adylkuzz“ komandų ir valdymo serverių.

Šiuo metu pažeidžiamumas, kurį išnaudojo nutekėję EternalBlue ir DoublePulsar įsilaužimo įrankiai, yra pataisyti, todėl asmenys ir organizacijos raginami nuolat atnaujinti savo Windows kompiuterius.