Рудар криптовалута под називом 'Адилкузз' напада мреже преко ЕтерналБлуе и ДоублеПулсар малвера

Док је злогласни ВаннаЦри Рансомваре доспео на насловнице у вестима о сајбер безбедности 2017. године, злонамерни актери су истовремено користили исте експлоатације за ширење рудара криптовалута по имену Адилкузз. Као и ВаннаЦри, Адилкузз је користио процуреле НСА алате за хаковање да би искористио рањивост мреже Мицрософт Виндовс и онемогућио умрежавање на зараженим уређајима, наводећи истраживаче да верују да је Адилкузз претходио ВаннаЦри нападима на много начина.

У 2017, масивни напад рансомваре-а је искористио ЕтерналБлуе да зарази ЛАН и бежичне мреже широм света. ЕтерналБлуе је идентификован као део депоније НСА хакерских алата Схадов Брокерс. Открива рањиве рачунаре и шири злонамерне садржаје користећи рањивост Мицрософтовог серверског блока МС17-010 на ТЦП порту 445. Комбинујући ЕтерналБлуе са другом НСА бацкдоор алатком под називом ДоублеПулсар , нападачи су инсталирали озлоглашену претњу рансомваре-а ВаннаЦри .

Међутим, истраживачи су открили још један напад великих размера који је такође користио и ЕтерналБлуе и ДоублеПулсар за заразу рачунара, али овог пута рударом криптовалута по имену Адилкузз.

Откриће је направљено након што је намерно разоткривена лабораторијска машина рањива на ЕтерналБлуе. Истраживачи сајбер безбедности су открили да се уређај заразио ДоублеПулсар-ом након успешне експлоатације преко ЕтерналБлуе-а. Затим је ДоублеПулсар отворио пут Адилкуззу да побегне од другог домаћина. Након блокирања СМБ комуникације, рудар је одредио јавну ИП адресу жртве и преузео упутства за рударење заједно са одређеним алатима за чишћење. Адилкузз је коришћен за рударење Монеро криптовалуте у овом конкретном случају. Посматрање једне од неколико Монеро адреса повезаних са овим нападом открива да је рударење престало након што је 22.000 долара плаћено на ту адресу. Дневне исплате за рударење повезане са једном одређеном адресом такође показују да су нападачи редовно прелазили са неколико адреса на другу како би избегли да се превише Монеро новчића пренесе на једну адресу.

Уобичајени симптоми Адилкузз-а укључују губитак приступа заједничким Виндовс ресурсима и погоршање перформанси рачунара. У неколико случајева за које се сумња да су ВаннаЦри напади на велике корпоративне мреже, недостатак напомене о откупнини имплицира да су пријављени проблеми са умрежавањем заправо повезани са Адилкузз активношћу. Истраживачи чак тврде да статистика инсталирања Адилкузз-а сугерише много значајнији утицај од напада ВаннаЦри, пошто рудар искључује СМБ умрежавање на погођеним рачунарима и на тај начин спречава инсталацију додатних претњи малвера кроз исту рањивост. Дакле, Адилкузз је можда заправо ограничио ширење ВаннаЦри-а током тог периода. Преко 20 хостова за скенирање и напад идентификовано је током истраге, заједно са преко десетак активних Адилкузз сервера за команду и контролу.

Тренутно су закрпљене рањивости које су искориштавали алати за хаковање ЕтерналБлуе и ДоублеПулсар који су процурили, тако да се појединци и организације позивају да своје Виндовс рачунаре стално ажурирају.