Koparka kryptowalut o nazwie „Adylkuzz” atakuje sieci za pomocą złośliwego oprogramowania EternalBlue i DoublePulsar

Podczas gdy niesławny WannaCry Ransomware pojawił się na pierwszych stronach gazet w wiadomościach o cyberbezpieczeństwie w 2017 r., złośliwi aktorzy jednocześnie wykorzystywali te same exploity do rozprzestrzeniania koparki kryptowalut o nazwie Adylkuzz. Podobnie jak WannaCry, Adylkuzz wykorzystał ujawnione narzędzia hakerskie NSA, aby wykorzystać lukę w zabezpieczeniach sieci Microsoft Windows i wyłączyć sieć na zainfekowanych urządzeniach, dzięki czemu badacze uważają, że Adylkuzz pod wieloma względami wyprzedził ataki WannaCry.

W 2017 roku masowy atak ransomware wykorzystał EternalBlue do zainfekowania sieci LAN i sieci bezprzewodowych na całym świecie. EternalBlue został zidentyfikowany jako część zrzutu narzędzi hakerskich NSA przez Shadow Brokers. Wykrywa podatne komputery i rozprzestrzenia złośliwe ładunki, wykorzystując lukę Microsoft Server Message Block MS17-010 na porcie TCP 445. Łącząc EternalBlue z innym tylnym narzędziem NSA o nazwie DoublePulsar , atakujący zainstalowali znane zagrożenie ransomware WannaCry .

Jednak badacze wykryli kolejny atak na dużą skalę, który również wykorzystywał zarówno EternalBlue, jak i DoublePulsar do infekowania komputerów, tym razem za pomocą koparki kryptowalut o nazwie Adylkuzz.

Odkrycia dokonano po celowym ujawnieniu maszyny laboratoryjnej podatnej na działanie EternalBlue. Badacze cyberbezpieczeństwa odkryli, że urządzenie zostało zainfekowane DoublePulsarem po udanej eksploatacji przez EternalBlue. Następnie DoublePulsar otworzył drogę Adylkuzz do uruchomienia z innego hosta. Po zablokowaniu komunikacji SMB, górnik ustalił publiczny adres IP ofiary i pobrał instrukcje kopania wraz z pewnymi narzędziami do czyszczenia. W tym konkretnym przypadku Adylkuzz został wykorzystany do wydobycia kryptowaluty Monero. Obserwacja jednego z kilku adresów Monero związanych z tym atakiem ujawnia, że wydobycie ustało po tym, jak na ten adres wpłacono 22 000 USD. Płatności za wydobycie dziennie związane z jednym konkretnym adresem pokazują również, że atakujący regularnie przełączali się między kilkoma adresami, aby uniknąć przesyłania zbyt wielu monet Monero na jeden adres.

Typowe objawy Adylkuzz to utrata dostępu do współdzielonych zasobów systemu Windows i pogarszająca się wydajność komputera. W kilku przypadkach podejrzewanych ataków WannaCry na duże sieci korporacyjne brak żądania okupu sugeruje, że zgłoszone problemy z siecią były w rzeczywistości związane z aktywnością Adylkuzz. Badacze twierdzą nawet, że statystyki instalacji Adylkuzz sugerują znacznie większy wpływ niż atak WannaCry, ponieważ górnik wyłącza sieć SMB na zaatakowanych komputerach, a tym samym uniemożliwia instalację dodatkowych zagrożeń złośliwym oprogramowaniem za pomocą tej samej luki. W ten sposób Adylkuzz mógł faktycznie ograniczyć rozprzestrzenianie się WannaCry w tym okresie. Podczas dochodzenia zidentyfikowano ponad 20 hostów do skanowania i atakowania, a także kilkanaście aktywnych serwerów dowodzenia i kontroli Adylkuzz.

Obecnie luki w zabezpieczeniach wykorzystywane przez wyciekające narzędzia hakerskie EternalBlue i DoublePulsar zostały załatane, dlatego osoby prywatne i organizacje są zachęcane do stałego aktualizowania swoich komputerów z systemem Windows.