Cryptomen Miner s názvom „Adylkuzz“ útočí na siete prostredníctvom malvéru EternalBlue a DoublePulsar

Zatiaľ čo neslávne známy WannaCry Ransomware sa v roku 2017 dostal do titulkov správ o kybernetickej bezpečnosti, záškodníci súčasne používali rovnaké exploity na šírenie kryptomeny s názvom Adylkuzz. Podobne ako WannaCry, aj Adylkuzz použil uniknuté hackerské nástroje NSA, aby využil sieťovú zraniteľnosť Microsoft Windows a deaktivoval sieť na infikovaných zariadeniach, vďaka čomu vedci veria, že Adylkuzz v mnohých ohľadoch predchádzal útokom WannaCry.

V roku 2017 masívny ransomvérový útok zneužil EternalBlue na infikovanie LAN a bezdrôtových sietí po celom svete. EternalBlue bol identifikovaný ako súčasť výpisu hackerských nástrojov NSA Shadow Brokers. Odhaľuje zraniteľné počítače a šíri škodlivý obsah využívaním zraniteľnosti Microsoft Server Message Block MS17-010 na porte TCP 445. Skombinovaním EternalBlue s ďalším backdoor nástrojom NSA s názvom DoublePulsar útočníci nainštalovali notoricky známu ransomvérovú hrozbu WannaCry .

Výskumníci však odhalili ďalší rozsiahly útok, ktorý tiež využíval EternalBlue a DoublePulsar na infikovanie počítačov, ale tentoraz s ťažiarom kryptomien s názvom Adylkuzz.

K objavu došlo po zámernom odhalení laboratórneho stroja citlivého na EternalBlue. Výskumníci v oblasti kybernetickej bezpečnosti zistili, že zariadenie sa infikovalo DoublePulsar po úspešnom využití prostredníctvom EternalBlue. Potom DoublePulsar otvoril cestu Adylkuzzovi, aby utiekol z iného hostiteľa. Po zablokovaní komunikácie SMB baník určil verejnú IP adresu obete a stiahol si pokyny na ťažbu spolu s určitými nástrojmi na čistenie. Adylkuzz bol v tomto konkrétnom prípade použitý na ťažbu kryptomeny Monero. Pozorovanie jednej z niekoľkých adries Monero spojených s týmto útokom odhaľuje, že ťažba sa zastavila po zaplatení 22 000 dolárov na túto adresu. Platby za ťažbu za deň spojené s jednou konkrétnou adresou tiež ukazujú, že útočníci pravidelne prepínali medzi niekoľkými adresami, aby zabránili preneseniu príliš veľkého množstva mincí Monero na jednu adresu.

Bežné príznaky Adylkuzz zahŕňajú stratu prístupu k zdieľaným zdrojom Windows a zhoršenie výkonu počítača. V niekoľkých prípadoch podozrenia z útokov WannaCry na rozsiahle podnikové siete nedostatok výkupného naznačuje, že hlásené problémy so sieťou boli v skutočnosti spojené s aktivitou Adylkuzz. Výskumníci dokonca tvrdia, že štatistiky o inštalácii Adylkuzz naznačujú oveľa výraznejší vplyv ako útok WannaCry, pretože baník na postihnutých počítačoch vypne sieť SMB a zabráni tak inštalácii ďalších malvérových hrozieb prostredníctvom rovnakej zraniteľnosti. Adylkuzz teda mohol počas tohto obdobia v skutočnosti obmedziť šírenie WannaCry. Počas vyšetrovania bolo identifikovaných viac ako 20 hostiteľov na skenovanie a útok, spolu s viac ako tuctom aktívnych príkazových a riadiacich serverov Adylkuzz.

V súčasnosti boli opravené zraniteľné miesta využívané uniknutými hackerskými nástrojmi EternalBlue a DoublePulsar, takže jednotlivci a organizácie sú vyzývaní, aby svoje počítače so systémom Windows neustále aktualizovali.