Майнер криптовалюты Adylkuzz атакует сети с помощью вредоносного ПО EternalBlue и DoublePulsar

В то время как печально известная программа-вымогатель WannaCry попала в заголовки новостей кибербезопасности в 2017 году, злоумышленники одновременно использовали одни и те же эксплойты для распространения майнера криптовалюты по имени Adylkuzz. Как и WannaCry, Adylkuzz использовал просочившиеся хакерские инструменты АНБ, чтобы использовать уязвимость сети Microsoft Windows и отключить сеть на зараженных устройствах, что заставило исследователей поверить в то, что Adylkuzz предшествовал атакам WannaCry во многих отношениях.

В 2017 году в результате масштабной атаки программ-вымогателей EternalBlue заразила локальные и беспроводные сети по всему миру. EternalBlue был идентифицирован как часть дампа Shadow Brokers хакерских инструментов АНБ. Он обнаруживает уязвимые компьютеры и распространяет вредоносную полезную нагрузку, используя уязвимость Microsoft Server Message Block MS17-010 на TCP-порту 445. Объединив EternalBlue с другим бэкдор-инструментом АНБ под названием DoublePulsar , злоумышленники установили печально известную угрозу-вымогателя WannaCry .

Однако исследователи обнаружили еще одну крупномасштабную атаку, в которой также использовались EternalBlue и DoublePulsar для заражения компьютеров, но на этот раз с майнером криптовалюты Adylkuzz.

Открытие было сделано после преднамеренного раскрытия лабораторной машины, уязвимой для EternalBlue. Исследователи кибербезопасности обнаружили, что устройство заразилось DoublePulsar после успешной эксплуатации через EternalBlue. Затем DoublePulsar открыл Adylkuzz возможность запуска с другого хоста. После блокировки связи по SMB майнер определил общедоступный IP-адрес жертвы и загрузил инструкции по майнингу вместе с некоторыми инструментами очистки. Adylkuzz использовался для майнинга криптовалюты Monero в данном конкретном случае. Наблюдение за одним из нескольких адресов Monero, связанных с этой атакой, показывает, что майнинг прекратился после того, как на этот адрес было переведено 22 000 долларов. Платежи за майнинг в день, связанные с одним конкретным адресом, также показывают, что злоумышленники регулярно переключались между несколькими адресами, чтобы избежать перевода слишком большого количества монет Monero на один адрес.

Общие симптомы Adylkuzz включают потерю доступа к общим ресурсам Windows и снижение производительности ПК. В нескольких случаях предполагаемых атак WannaCry на крупные корпоративные сети отсутствие примечания о выкупе означает, что проблемы с сетью, о которых сообщалось, на самом деле были связаны с деятельностью Adylkuzz. Исследователи даже утверждают, что статистика установки Adylkuzz предполагает гораздо более значительное влияние, чем атака WannaCry, поскольку майнер отключает сеть SMB на зараженных компьютерах и, таким образом, предотвращает установку дополнительных вредоносных программ через ту же уязвимость. Таким образом, Adylkuzz, возможно, фактически ограничил распространение WannaCry в этот период. В ходе расследования было выявлено более 20 хостов для сканирования и атаки, а также более дюжины активных серверов управления и контроля Adylkuzz.

В настоящее время уязвимости, используемые хакерскими инструментами EternalBlue и DoublePulsar, были исправлены, поэтому отдельным лицам и организациям настоятельно рекомендуется постоянно обновлять свои компьютеры с Windows.