Penambang Matawang Kripto Bernama 'Adylkuzz' Menyerang Rangkaian Melalui Perisian Hasad EternalBlue dan DoublePulsar

Walaupun WannaCry Ransomware yang terkenal menjadi tajuk utama dalam berita keselamatan siber pada 2017, pelakon berniat jahat telah menggunakan eksploitasi yang sama secara serentak untuk menyebarkan pelombong mata wang kripto bernama Adylkuzz. Seperti WannaCry, Adylkuzz menggunakan alat penggodaman NSA yang bocor untuk memanfaatkan kelemahan rangkaian Microsoft Windows dan melumpuhkan rangkaian pada peranti yang dijangkiti, membuatkan penyelidik percaya bahawa Adylkuzz mendahului serangan WannaCry dalam banyak cara.

Pada 2017, serangan perisian tebusan besar-besaran telah mengeksploitasi EternalBlue untuk menjangkiti LAN dan rangkaian wayarles di seluruh dunia. EternalBlue telah dikenal pasti sebagai sebahagian daripada pembuangan Shadow Brokers alat penggodaman NSA. Ia menemui komputer yang terdedah dan menyebarkan muatan berniat jahat dengan memanfaatkan kerentanan Microsoft Server Message Block MS17-010 pada port TCP 445. Menyikat EternalBlue dengan alat pintu belakang NSA lain yang dipanggil DoublePulsar , penyerang memasang ancaman perisian tebusan terkenal WannaCry .

Walau bagaimanapun, penyelidik mengesan satu lagi serangan berskala besar yang turut menggunakan kedua-dua EternalBlue dan DoublePulsar untuk menjangkiti komputer, namun kali ini dengan pelombong mata wang kripto yang dipanggil Adylkuzz.

Penemuan itu dibuat selepas dengan sengaja mendedahkan mesin makmal yang terdedah kepada EternalBlue. Penyelidik Cybersecurity mendapati bahawa peranti itu dijangkiti DoublePulsar apabila berjaya dieksploitasi melalui EternalBlue. Kemudian, DoublePulsar membuka jalan untuk Adylkuzz berlari dari hos lain. Selepas menyekat komunikasi SMB, pelombong menentukan alamat IP awam mangsa dan memuat turun arahan perlombongan bersama alat pembersihan tertentu. Adylkuzz telah digunakan untuk melombong mata wang kripto Monero dalam keadaan tertentu ini. Memerhatikan salah satu daripada beberapa alamat Monero yang dikaitkan dengan serangan ini mendedahkan bahawa perlombongan dihentikan selepas $22,000 dibayar ke alamat tersebut. Pembayaran perlombongan setiap hari yang dikaitkan dengan satu alamat tertentu juga menunjukkan bahawa penyerang kerap bertukar antara beberapa alamat untuk mengelakkan terlalu banyak syiling Monero dipindahkan ke satu alamat.

Gejala biasa Adylkuzz termasuk kehilangan akses kepada sumber Windows yang dikongsi dan prestasi PC yang merosot. Dalam beberapa kes serangan WannaCry yang disyaki pada rangkaian korporat berskala besar, kekurangan nota tebusan membayangkan bahawa isu rangkaian yang dilaporkan sebenarnya dikaitkan dengan aktiviti Adylkuzz. Penyelidik juga mendakwa bahawa statistik pemasangan Adylkuzz mencadangkan kesan yang jauh lebih ketara daripada serangan WannaCry kerana pelombong menutup rangkaian SMB pada komputer yang terjejas dan dengan itu menghalang pemasangan ancaman perisian hasad tambahan melalui kelemahan yang sama. Oleh itu, Adylkuzz mungkin sebenarnya telah mengehadkan penyebaran WannaCry dalam tempoh tersebut. Lebih 20 hos untuk diimbas dan diserang telah dikenal pasti semasa penyiasatan, bersama-sama dengan lebih sedozen Pelayan Perintah-dan-Kawalan Adylkuzz yang aktif.

Pada masa ini, kelemahan yang dieksploitasi oleh alat penggodaman EternalBlue dan DoublePulsar yang bocor telah ditambal, jadi individu dan organisasi digesa untuk memastikan komputer Windows mereka dikemas kini pada setiap masa.