Minatori i kriptomonedhës i quajtur 'Adylkuzz' sulmon rrjetet përmes malware EternalBlue dhe DoublePulsar
Ndërsa famëkeq WannaCry Ransomware u bë tituj në lajmet e sigurisë kibernetike në vitin 2017, aktorët keqdashës kishin përdorur njëkohësisht të njëjtat shfrytëzime për të përhapur një minator të kriptomonedhave të quajtur Adylkuzz. Ashtu si WannaCry, Adylkuzz përdori mjete hakerimi të zbuluara të NSA për të shfrytëzuar një dobësi të rrjetit të Microsoft Windows dhe për të çaktivizuar rrjetëzimin në pajisjet e infektuara, duke i bërë studiuesit të besojnë se Adylkuzz i parapriu sulmeve të WannaCry në shumë mënyra.
Në vitin 2017, një sulm masiv ransomware shfrytëzoi EternalBlue për të infektuar rrjetet LAN dhe rrjetet pa tel në mbarë botën. EternalBlue është identifikuar si pjesë e deponisë Shadow Brokers të mjeteve të hakerimit të NSA. Ai zbulon kompjuterë të cenueshëm dhe përhap ngarkesa me qëllim të keq duke shfrytëzuar cenueshmërinë e Microsoft Server Message Block MS17-010 në portën TCP 445. Duke krehur EternalBlue me një mjet tjetër të prapambetur të NSA të quajtur DoublePulsar , sulmuesit instaluan kërcënimin famëkeq ransomware WannaCry .
Megjithatë, studiuesit zbuluan një tjetër sulm në shkallë të gjerë që përdori gjithashtu EternalBlue dhe DoublePulsar për të infektuar kompjuterët, por këtë herë me një minator kriptomonedhe të quajtur Adylkuzz.
Zbulimi u bë pas ekspozimit të qëllimshëm të një makinerie laboratorike të pambrojtur ndaj EternalBlue. Studiuesit e sigurisë kibernetike zbuluan se pajisja u infektua me DoublePulsar pas shfrytëzimit të suksesshëm përmes EternalBlue. Më pas, DoublePulsar hapi rrugën që Adylkuzz të ikte nga një host tjetër. Pas bllokimit të komunikimit SMB, minatori përcaktoi adresën IP publike të viktimës dhe shkarkoi udhëzimet e minierave së bashku me mjete të caktuara pastrimi. Adylkuzz është përdorur për të minuar kriptomonedhën Monero në këtë rast të veçantë. Vëzhgimi i një prej adresave të shumta të Monero-s të lidhura me këtë sulm zbulon se minierat pushuan pasi u paguan 22,000 dollarë në atë adresë. Pagesat e minierave në ditë të lidhura me një adresë specifike tregojnë gjithashtu se sulmuesit kalonin rregullisht midis disa adresave për të shmangur transferimin e shumë monedhave Monero në një adresë të vetme.
Simptomat e zakonshme të Adylkuzz përfshijnë humbjen e aksesit në burimet e përbashkëta të Windows dhe përkeqësimin e performancës së PC. Në disa raste të sulmeve të dyshuara WannaCry në rrjetet e korporatave në shkallë të gjerë, mungesa e një shënimi shpërblesëje nënkupton se çështjet e raportuara të rrjetit ishin të lidhura në të vërtetë me aktivitetin e Adylkuzz. Studiuesit madje pretendojnë se statistikat e instalimit të Adylkuzz sugjerojnë një ndikim shumë më domethënës sesa sulmi WannaCry pasi minatori mbyll rrjetin SMB në kompjuterët e prekur dhe kështu parandalon instalimin e kërcënimeve shtesë të malware përmes të njëjtit cenueshmëri. Kështu, Adylkuzz mund të ketë kufizuar në të vërtetë përhapjen e WannaCry gjatë asaj periudhe. Mbi 20 hoste për të skanuar dhe sulmuar janë identifikuar gjatë hetimit, së bashku me mbi një duzinë serverë aktivë Adylkuzz Command-and-Control.
Aktualisht, dobësitë e shfrytëzuara nga mjetet e hakerimit të zbuluar EternalBlue dhe DoublePulsar janë korrigjuar, kështu që individëve dhe organizatave u kërkohet të mbajnë kompjuterët e tyre Windows të përditësuar në çdo kohë.