Minerul de criptomonede numit „Adylkuzz” atacă rețelele prin intermediul programelor malware EternalBlue și DoublePulsar

În timp ce infamul WannaCry Ransomware a făcut titluri în știrile despre securitatea cibernetică în 2017, actori rău intenționați au folosit simultan aceleași exploatații pentru a răspândi un miner de criptomonede numit Adylkuzz. La fel ca WannaCry, Adylkuzz a folosit instrumente de hacking NSA scurse pentru a valorifica o vulnerabilitate a rețelei Microsoft Windows și a dezactiva rețeaua pe dispozitivele infectate, făcându-i pe cercetători să creadă că Adylkuzz a precedat atacurile WannaCry în multe feluri.

În 2017, un atac ransomware masiv a exploatat EternalBlue pentru a infecta rețelele LAN și rețelele wireless din întreaga lume. EternalBlue a fost identificat ca parte a depozitului Shadow Brokers a instrumentelor de hacking NSA. Descoperă computere vulnerabile și propagă încărcături utile rău intenționate prin valorificarea vulnerabilității Microsoft Server Message Block MS17-010 pe portul TCP 445. Combinând EternalBlue cu un alt instrument de backdoor NSA numit DoublePulsar , atacatorii au instalat faimoasa amenințare ransomware WannaCry .

Cu toate acestea, cercetătorii au detectat un alt atac la scară largă care a folosit și EternalBlue și DoublePulsar pentru a infecta computerele, dar de data aceasta cu un miner de criptomonede numit Adylkuzz.

Descoperirea a fost făcută după ce a expus în mod deliberat o mașină de laborator vulnerabilă la EternalBlue. Cercetătorii de securitate cibernetică au descoperit că dispozitivul a fost infectat cu DoublePulsar în urma exploatării cu succes prin EternalBlue. Apoi, DoublePulsar a deschis calea pentru ca Adylkuzz să fugă de la o altă gazdă. După blocarea comunicării SMB, minerul a determinat adresa IP publică a victimei și a descărcat instrucțiunile de extragere împreună cu anumite instrumente de curățare. Adylkuzz a fost folosit pentru a extrage criptomoneda Monero în acest caz particular. Observarea uneia dintre cele mai multe adrese Monero asociate cu acest atac dezvăluie că mineritul a încetat după ce s-au plătit 22.000 USD la acea adresă. Plățile miniere pe zi asociate cu o anumită adresă arată, de asemenea, că atacatorii au comutat în mod regulat între mai multe adrese pentru a evita transferul prea multor monede Monero la o singură adresă.

Simptomele comune ale Adylkuzz includ pierderea accesului la resursele Windows partajate și deteriorarea performanței computerului. În mai multe cazuri de atacuri suspectate WannaCry asupra rețelelor corporative la scară largă, lipsa unei note de răscumpărare implică faptul că problemele de rețea raportate au fost de fapt asociate cu activitatea Adylkuzz. Cercetătorii susțin chiar că statisticile de instalare Adylkuzz sugerează un impact mult mai semnificativ decât atacul WannaCry, deoarece minerul oprește rețelele SMB pe computerele afectate și previne astfel instalarea de amenințări malware suplimentare prin aceeași vulnerabilitate. Astfel, este posibil ca Adylkuzz să fi limitat de fapt propagarea WannaCry în acea perioadă. Peste 20 de gazde de scanat și atacat au fost identificate în timpul investigației, împreună cu peste o duzină de servere de comandă și control Adylkuzz active.

În prezent, vulnerabilitățile exploatate de instrumentele de hacking EternalBlue și DoublePulsar au fost corectate, astfel încât persoanele și organizațiile sunt îndemnate să-și mențină computerele Windows la zi în orice moment.