Cryptocurrency Miner genaamd 'Adylkuzz' valt netwerken aan via EternalBlue en DoublePulsar Malware

Terwijl de beruchte WannaCry Ransomware de krantenkoppen haalde in het cyberbeveiligingsnieuws in 2017, hadden kwaadwillenden tegelijkertijd dezelfde exploits gebruikt om een cryptocurrency-mijnwerker genaamd Adylkuzz te verspreiden. Net als WannaCry gebruikte Adylkuzz gelekte NSA -hackingtools om misbruik te maken van een Microsoft Windows-netwerkkwetsbaarheid en netwerken op geïnfecteerde apparaten uit te schakelen, waardoor onderzoekers geloven dat Adylkuzz op veel manieren ouder was dan WannaCry-aanvallen.

In 2017 maakte een massale ransomware-aanval gebruik van EternalBlue om wereldwijd LAN's en draadloze netwerken te infecteren. EternalBlue is geïdentificeerd als onderdeel van de Shadow Brokers-dump van NSA-hacktools. Het ontdekt kwetsbare computers en verspreidt kwaadaardige ladingen door gebruik te maken van de Microsoft Server Message Block MS17-010-kwetsbaarheid op TCP-poort 445. Door EternalBlue te combineren met een andere NSA-backdoor-tool genaamd DoublePulsar , installeerden aanvallers de beruchte ransomware-dreiging WannaCry .

Onderzoekers ontdekten echter nog een grootschalige aanval waarbij zowel EternalBlue als DoublePulsar werden gebruikt om computers te infecteren, maar deze keer met een cryptocurrency-mijnwerker genaamd Adylkuzz.

De ontdekking werd gedaan na het opzettelijk blootstellen van een laboratoriummachine die kwetsbaar was voor EternalBlue. Cybersecurity-onderzoekers ontdekten dat het apparaat geïnfecteerd raakte met DoublePulsar na succesvolle exploitatie via EternalBlue. Vervolgens opende DoublePulsar de weg voor Adylkuzz om weg te rennen van een andere host. Na het blokkeren van SMB-communicatie, bepaalde de mijnwerker het openbare IP-adres van het slachtoffer en downloadde de mijnbouwinstructies samen met bepaalde opruimtools. Adylkuzz is in dit specifieke geval gebruikt om de Monero-cryptocurrency te minen. Het observeren van een van de verschillende Monero-adressen die aan deze aanval zijn gekoppeld, onthult dat de mijnbouw stopte nadat $ 22.000 aan dat adres was betaald. De mining-betalingen per dag die aan één specifiek adres zijn gekoppeld, laten ook zien dat de aanvallers regelmatig tussen verschillende adressen wisselden om te voorkomen dat te veel Monero-munten naar één adres werden overgebracht.

Veelvoorkomende symptomen van Adylkuzz zijn verlies van toegang tot gedeelde Windows-bronnen en verslechterende pc-prestaties. In verschillende gevallen van vermoedelijke WannaCry-aanvallen op grootschalige bedrijfsnetwerken, impliceert het ontbreken van een losgeldbrief dat de gemelde netwerkproblemen in feite verband hielden met Adylkuzz-activiteit. Onderzoekers beweren zelfs dat de installatiestatistieken van Adylkuzz een veel grotere impact suggereren dan de WannaCry-aanval, aangezien de miner SMB-netwerken op getroffen computers afsluit en zo de installatie van aanvullende malwarebedreigingen via dezelfde kwetsbaarheid verhindert. Het is dus mogelijk dat Adylkuzz de verspreiding van WannaCry in die periode heeft beperkt. Tijdens het onderzoek zijn meer dan 20 hosts geïdentificeerd om te scannen en aan te vallen, samen met meer dan een dozijn actieve Adylkuzz Command-and-Control-servers.

Momenteel zijn de kwetsbaarheden die worden misbruikt door de gelekte EternalBlue- en DoublePulsar-hackingtools gepatcht, dus individuen en organisaties worden dringend verzocht hun Windows-computers te allen tijde up-to-date te houden.