Cryptocurrency Miner som heter "Adylkuzz" attackerar nätverk genom EternalBlue och DoublePulsar Malware

Medan den ökända WannaCry Ransomware skapade rubriker i cybersäkerhetsnyheterna 2017, hade illvilliga aktörer samtidigt använt samma bedrifter för att sprida en kryptovalutagruvarbetare vid namn Adylkuzz. Liksom WannaCry använde Adylkuzz läckta NSA-hackningsverktyg för att utnyttja en Microsoft Windows-nätverkssårbarhet och inaktivera nätverk på infekterade enheter, vilket fick forskare att tro att Adylkuzz föregick WannaCry-attacker på många sätt.

Under 2017 utnyttjade en massiv ransomware-attack EternalBlue för att infektera LAN och trådlösa nätverk över hela världen. EternalBlue har identifierats som en del av Shadow Brokers-dumpen av NSA-hackningsverktyg. Den upptäcker sårbara datorer och sprider skadliga nyttolaster genom att utnyttja sårbarheten Microsoft Server Message Block MS17-010 på TCP-port 445. Genom att kombinera EternalBlue med ett annat NSA-bakdörrsverktyg som heter DoublePulsar installerade angriparna det ökända ransomwarehotet WannaCry .

Men forskare upptäckte en annan storskalig attack som också använde både EternalBlue och DoublePulsar för att infektera datorer, men denna gång med en kryptovalutagruvarbetare som heter Adylkuzz.

Upptäckten gjordes efter att avsiktligt exponerat en labbmaskin som är sårbar för EternalBlue. Cybersäkerhetsforskare fick reda på att enheten blev infekterad med DoublePulsar efter framgångsrik exploatering genom EternalBlue. Sedan öppnade DoublePulsar vägen för Adylkuzz att springa från en annan värd. Efter att ha blockerat SMB-kommunikation fastställde gruvarbetaren offrets offentliga IP-adress och laddade ner gruvinstruktionerna tillsammans med vissa saneringsverktyg. Adylkuzz har använts för att bryta Monero-kryptovalutan i det här specifika fallet. Att observera en av flera Monero-adresser som är associerade med denna attack avslöjar att gruvdriften upphörde efter att $22 000 betalats till den adressen. Gruvbetalningarna per dag förknippade med en specifik adress visar också att angriparna regelbundet växlade mellan flera adresser för att undvika att för många Monero-mynt överförs till en enda adress.

Vanliga symptom på Adylkuzz inkluderar förlorad åtkomst till delade Windows-resurser och försämrad PC-prestanda. I flera fall av misstänkta WannaCry-attacker på storskaliga företagsnätverk, innebär avsaknaden av en lösensumma att de rapporterade nätverksproblemen faktiskt var förknippade med Adylkuzz-aktivitet. Forskare hävdar till och med att Adylkuzz-installationsstatistiken tyder på en mycket mer betydande inverkan än WannaCry-attacken eftersom gruvarbetaren stänger av SMB-nätverk på drabbade datorer och därmed förhindrar installationen av ytterligare skadlig programvara genom samma sårbarhet. Således kan Adylkuzz faktiskt ha begränsat WannaCry-utbredningen under den perioden. Över 20 värdar att skanna och attackera har identifierats under utredningen, tillsammans med över ett dussin aktiva Adylkuzz Command-and-Control-servrar.

För närvarande har sårbarheterna som utnyttjas av de läckta EternalBlue- och DoublePulsar-hackningsverktygen korrigerats, så individer och organisationer uppmanas att hålla sina Windows-datorer uppdaterade hela tiden.