Um Minerador de Cripto-Moedas Chamado 'Adylkuzz' Ataca Redes Através do Malware EternalBlue e DoublePulsar

Quando o infame WannaCry Ransomware ganhou as manchetes de notícias de segurança cibernética em 2017, autores maliciosos estavam usando simultaneamente as mesmas explorações para espalhar um minerador de cripto-moedas chamado Adylkuzz. Assim como o WannaCry, o Adylkuzz usou ferramentas de hackers vazadas da NSA para aproveitar uma vulnerabilidade na rede do Microsoft Windows e desabilitar a rede nos dispositivos infectados, fazendo os pesquisadores acreditarem que o Adylkuzz antecedeu os ataques do WannaCry de várias maneiras.

Em 2017, um ataque maciço de ransomware explorou o EternalBlue para infectar LANs e redes sem fio em todo o mundo. O EternalBlue foi identificado como parte do despejo do Shadow Brokers de ferramentas de hacking da NSA. Ele descobre computadores vulneráveis e propaga cargas maliciosas, aproveitando a vulnerabilidade do Microsoft Server Message Block MS17-010 na porta TCP 445. Combinando o EternalBlue com outra ferramenta de backdoor da NSA chamada DoublePulsar, os invasores instalaram a notória ameaça do WannaCry Ransomware.

No entanto, os pesquisadores detectaram outro ataque em grande escala que também empregou o EternalBlue e o DoublePulsar para infectar computadores, mas desta vez com um minerador de cript-moedas chamado Adylkuzz.

A descoberta foi feita depois de expor deliberadamente uma máquina de laboratório vulnerável ao EternalBlue. Os pesquisadores de segurança cibernética descobriram que o dispositivo foi infectado com o DoublePulsar após uma exploração bem-sucedida através do EternalBlue. Então, o DoublePulsar abriu o caminho para o Adylkuzz ser executado através de outro host. Depois de bloquear a comunicação SMB, o minerador determinava o endereço IP público da vítima e baixava as instruções de mineração junto com certas ferramentas de limpeza. O Adylkuzz foi usado para minerar a cripto-moeda Monero neste caso específico. Observar um dos vários endereços Monero associados a este ataque revela que a mineração cessou depois que US $22.000 foram pagos a esse endereço. Os pagamentos de mineração por dia associados a um endereço específico também mostram que os invasores alternavam regularmente entre vários endereços para evitar que muitas moedas Monero fossem transferidas para um único endereço.

Os sintomas comuns do Adylkuzz incluem perda de acesso a recursos compartilhados do Windows e deterioração do desempenho do PC. Em vários casos de suspeita de ataques do WannaCry em redes corporativas de grande escala, a falta de uma nota de resgate implica que os problemas de rede relatados estavam realmente associados à atividade do Adylkuzz. Os pesquisadores até afirmam que as estatísticas de instalação do Adylkuzz sugerem um impacto muito mais significativo do que o ataque do WannaCry, pois o minerador desliga a rede SMB nos computadores afetados e, portanto, impede a instalação de ameaças de malware adicionais por meio da mesma vulnerabilidade. Assim, o Adylkuzz pode ter realmente limitado a propagação do WannaCry durante esse período. Mais de 20 hosts para digitalização e ataque foram identificados durante a investigação, juntamente com mais de uma dúzia de servidores de comando e controle do Adylkuzz ativos.

Atualmente, as vulnerabilidades exploradas pelas ferramentas de hackers EternalBlue e DoublePulsar vazadas foram corrigidas, de modo que indivíduos e organizações são estimulados a manter seus computadores Windows atualizados o tempo todo.