Kriptovalūtas ieguvējs ar nosaukumu Adylkuzz uzbrūk tīkliem, izmantojot EternalBlue un DoublePulsar ļaunprātīgu programmatūru

Kamēr bēdīgi slavenā WannaCry Ransomware 2017. gadā nokļuva kiberdrošības ziņu virsrakstos, ļaunprātīgi dalībnieki vienlaikus izmantoja tos pašus varoņdarbus, lai izplatītu kriptovalūtas ieguvēju Adylkuzz. Tāpat kā WannaCry, Adylkuzz izmantoja nopludinātus NSA uzlaušanas rīkus , lai piesaistītu Microsoft Windows tīkla ievainojamību un atspējotu tīklu veidošanu inficētajās ierīcēs, liekot pētniekiem uzskatīt, ka Adylkuzz daudzos veidos bija pirms WannaCry uzbrukumiem.

2017. gadā masveida izpirkuma programmatūras uzbrukums izmantoja EternalBlue , lai inficētu LAN un bezvadu tīklus visā pasaulē. EternalBlue ir identificēta kā daļa no Shadow Brokers NSA hakeru rīku izgāztuves. Tas atklāj ievainojamus datorus un izplata ļaunprātīgas slodzes, izmantojot Microsoft Server Message Block MS17-010 ievainojamību TCP portā 445. Apvienojot EternalBlue ar citu NSA aizmugures durvju rīku DoublePulsar , uzbrucēji instalēja bēdīgi slaveno izspiedējprogrammatūras draudu WannaCry .

Tomēr pētnieki atklāja vēl vienu liela mēroga uzbrukumu, kas arī izmantoja gan EternalBlue, gan DoublePulsar, lai inficētu datorus, tomēr šoreiz ar kriptovalūtas kalnraču Adylkuzz.

Atklājums tika veikts pēc tam, kad tika apzināti pakļauta laboratorijas iekārta, kas ir neaizsargāta pret EternalBlue. Kiberdrošības pētnieki atklāja, ka ierīce tika inficēta ar DoublePulsar pēc veiksmīgas ekspluatācijas, izmantojot EternalBlue. Pēc tam DoublePulsar pavēra ceļu Adylkuzz palaišanai no cita saimnieka. Pēc SMB sakaru bloķēšanas kalnracis noteica upura publisko IP adresi un lejupielādēja ieguves instrukcijas kopā ar noteiktiem tīrīšanas rīkiem. Adylkuzz šajā konkrētajā gadījumā tika izmantots, lai iegūtu Monero kriptovalūtu. Novērojot vienu no vairākām Monero adresēm, kas saistītas ar šo uzbrukumu, atklājas, ka ieguve tika pārtraukta pēc tam, kad uz šo adresi tika samaksāti 22 000 USD. Kalnrūpniecības maksājumi dienā, kas saistīti ar vienu konkrētu adresi, arī parāda, ka uzbrucēji regulāri pārslēdzās starp vairākām adresēm, lai izvairītos no pārāk daudzu Monero monētu pārsūtīšanas uz vienu adresi.

Bieži sastopamie Adylkuzz simptomi ir piekļuves zaudēšana koplietotajiem Windows resursiem un datora veiktspējas pasliktināšanās. Vairākos gadījumos, kad ir aizdomas par WannaCry uzbrukumiem liela mēroga korporatīvajiem tīkliem, izpirkuma naudas trūkums nozīmē, ka ziņotās tīkla problēmas faktiski bija saistītas ar Adylkuzz darbību. Pētnieki pat apgalvo, ka Adylkuzz instalēšanas statistika liecina par daudz nozīmīgāku ietekmi nekā WannaCry uzbrukums, jo kalnracis izslēdz SMB tīklu ietekmētajos datoros un tādējādi novērš papildu ļaunprātīgas programmatūras draudu instalēšanu, izmantojot to pašu ievainojamību. Tādējādi Adylkuzz, iespējams, faktiski ierobežoja WannaCry izplatību šajā periodā. Izmeklēšanas laikā tika identificēti vairāk nekā 20 resursdatori, lai skenētu un uzbruktu, kā arī vairāk nekā ducis aktīvu Adylkuzz Command-and-Control serveru.

Pašlaik ievainojamības, ko izmanto nopludinātie EternalBlue un DoublePulsar hakeru rīki, ir izlabotas, tāpēc privātpersonas un organizācijas tiek mudinātas vienmēr atjaunināt savus Windows datorus.