Rudar kriptovalut z imenom 'Adylkuzz' napada omrežja prek zlonamerne programske opreme EternalBlue in DoublePulsar

Medtem ko je zloglasna izsiljevalska programska oprema WannaCry leta 2017 polnila naslovnice novic o kibernetski varnosti, so zlonamerni akterji istočasno uporabljali iste podvige za širjenje rudarja kriptovalut z imenom Adylkuzz. Tako kot WannaCry je Adylkuzz uporabil razkrita hekerska orodja NSA, da bi izkoristil ranljivost omrežja Microsoft Windows in onemogočil omrežje na okuženih napravah, zaradi česar so raziskovalci prepričani, da je Adylkuzz na več načinov pred napadi WannaCry.

Leta 2017 je ogromen napad izsiljevalske programske opreme izkoristil EternalBlue za okužbo LAN in brezžičnih omrežij po vsem svetu. EternalBlue je bil identificiran kot del hekerskih orodij NSA, ki jih je objavila Shadow Brokers. Odkriva ranljive računalnike in širi zlonamerno koristno obremenitev z izkoriščanjem ranljivosti Microsoft Server Message Block MS17-010 na vratih TCP 445. Napadalci so združili EternalBlue z drugim orodjem za stranska vrata NSA, imenovanim DoublePulsar , in namestili zloglasno grožnjo izsiljevalske programske opreme WannaCry .

Vendar pa so raziskovalci odkrili še en obsežen napad, ki je prav tako uporabil EternalBlue in DoublePulsar za okužbo računalnikov, vendar tokrat z rudarjem kriptovalut Adylkuzz.

Do odkritja je prišlo po namernem izpostavitvi laboratorijskega stroja, ranljivega za EternalBlue. Raziskovalci kibernetske varnosti so ugotovili, da se je naprava ob uspešni uporabi preko EternalBlue okužila z DoublePulsar. Nato je DoublePulsar odprl pot za Adylkuzz, da teče iz drugega gostitelja. Po blokiranju komunikacije SMB je rudar določil žrtvin javni naslov IP in prenesel navodila za rudarjenje skupaj z določenimi orodji za čiščenje. Adylkuzz je bil uporabljen za rudarjenje kriptovalute Monero v tem posebnem primeru. Opazovanje enega od več naslovov Monero, povezanih s tem napadom, razkrije, da se je rudarjenje ustavilo, potem ko je bilo na ta naslov plačanih 22.000 $. Plačila za rudarjenje na dan, povezana z enim določenim naslovom, prav tako kažejo, da so napadalci redno preklapljali med več naslovi, da bi se izognili prenosu preveč kovancev Monero na en naslov.

Pogosti simptomi Adylkuzza vključujejo izgubo dostopa do skupnih virov sistema Windows in poslabšanje delovanja računalnika. V več primerih domnevnih napadov WannaCry na velika poslovna omrežja pomanjkanje obvestila o odkupnini pomeni, da so bile prijavljene težave z omrežjem dejansko povezane z dejavnostjo Adylkuzz. Raziskovalci celo trdijo, da statistika namestitve Adylkuzz kaže na veliko večji vpliv kot napad WannaCry, saj rudar izklopi omrežje SMB na prizadetih računalnikih in tako prepreči namestitev dodatnih groženj zlonamerne programske opreme prek iste ranljivosti. Tako je Adylkuzz morda dejansko omejil širjenje WannaCry v tem obdobju. Med preiskavo je bilo ugotovljenih več kot 20 gostiteljev za skeniranje in napad, skupaj z več kot ducatom aktivnih strežnikov Adylkuzz Command-and-Control.

Trenutno so bile ranljivosti, ki jih izkoriščajo razkrita hekerska orodja EternalBlue in DoublePulsar, popravljene, zato posameznike in organizacije pozivamo, naj svoje računalnike z operacijskim sistemom Windows vedno posodabljajo.