Cryptocurrency Miner kalt 'Adylkuzz' angriper nettverk gjennom EternalBlue og DoublePulsar Malware

Mens den beryktede WannaCry Ransomware skapte overskrifter i cybersikkerhetsnyhetene i 2017, hadde ondsinnede aktører samtidig brukt de samme utnyttelsene for å spre en kryptovaluta-gruvearbeider ved navn Adylkuzz. I likhet med WannaCry, brukte Adylkuzz lekkede NSA-hackingverktøy for å utnytte et Microsoft Windows-nettverkssårbarhet og deaktivere nettverk på infiserte enheter, noe som fikk forskere til å tro at Adylkuzz var før WannaCry-angrepene på mange måter.

I 2017 utnyttet et massivt løsepenge-angrep EternalBlue til å infisere LAN og trådløse nettverk over hele verden. EternalBlue har blitt identifisert som en del av Shadow Brokers-dumpen av NSA-hackingverktøy. Den oppdager sårbare datamaskiner og sprer ondsinnet nyttelast ved å utnytte Microsoft Server Message Block MS17-010-sårbarheten på TCP-port 445. Ved å kombinere EternalBlue med et annet NSA-bakdørsverktøy kalt DoublePulsar , installerte angripere den beryktede løsepengevaretrusselen WannaCry .

Imidlertid oppdaget forskere et annet storstilt angrep som også brukte både EternalBlue og DoublePulsar til å infisere datamaskiner, men denne gangen med en kryptovalutagruvearbeider kalt Adylkuzz.

Oppdagelsen ble gjort etter bevisst avsløring av en laboratoriemaskin som er sårbar for EternalBlue. Cybersikkerhetsforskere fant ut at enheten ble infisert med DoublePulsar etter vellykket utnyttelse gjennom EternalBlue. Deretter åpnet DoublePulsar for Adylkuzz å løpe fra en annen vert. Etter å ha blokkert SMB-kommunikasjon, bestemte gruvearbeideren offerets offentlige IP-adresse og lastet ned gruveinstruksjonene sammen med visse oppryddingsverktøy. Adylkuzz har blitt brukt til å utvinne Monero-kryptovalutaen i dette spesielle tilfellet. Å observere en av de flere Monero-adressene knyttet til dette angrepet avslører at gruvedriften opphørte etter at $22 000 ble betalt til den adressen. Gruvebetalingene per dag knyttet til én spesifikk adresse viser også at angriperne regelmessig byttet mellom flere adresser for å unngå at for mange Monero-mynter ble overført til én enkelt adresse.

Vanlige symptomer på Adylkuzz inkluderer tapt tilgang til delte Windows-ressurser og dårligere PC-ytelse. I flere tilfeller av mistenkte WannaCry-angrep på store bedriftsnettverk, antyder mangelen på løsepenger at de rapporterte nettverksproblemene faktisk var assosiert med Adylkuzz-aktivitet. Forskere hevder til og med at Adylkuzz-installasjonsstatistikken antyder en mye mer betydelig innvirkning enn WannaCry-angrepet, ettersom gruvearbeideren stenger SMB-nettverk på berørte datamaskiner og dermed forhindrer installasjon av ytterligere skadevaretrusler gjennom samme sårbarhet. Dermed kan Adylkuzz faktisk ha begrenset WannaCry-utbredelsen i løpet av den perioden. Over 20 verter for å skanne og angripe har blitt identifisert under etterforskningen, sammen med over et dusin aktive Adylkuzz Command-and-Control-servere.

For øyeblikket har sårbarhetene som utnyttes av de lekkede EternalBlue- og DoublePulsar-hackingverktøyene blitt lappet, så enkeltpersoner og organisasjoner oppfordres til å holde sine Windows-datamaskiner oppdatert til enhver tid.