Cryptocurrency Miner ชื่อ 'Adylkuzz' โจมตีเครือข่ายผ่านมัลแวร์ EternalBlue และ DoublePulsar

ในขณะที่ WannaCry Ransomware ที่มีชื่อเสียงโด่งดังเป็นข่าวพาดหัวในข่าวความปลอดภัยทางไซเบอร์ในปี 2560 ผู้ประสงค์ร้ายได้ใช้วิธีการเดียวกันนี้เพื่อเผยแพร่ผู้ขุดคริปโตเคอเรนซี่ที่ชื่อว่า Adylkuzz เช่นเดียวกับ WannaCry Adylkuzz ใช้ เครื่องมือแฮ็ก NSA ที่รั่วไหล เพื่อใช้ประโยชน์จากช่องโหว่ของเครือข่าย Microsoft Windows และปิดใช้งานเครือข่ายบนอุปกรณ์ที่ติดเชื้อ ทำให้นักวิจัยเชื่อว่า Adylkuzz ได้โจมตี WannaCry มาก่อนในหลาย ๆ ด้าน

ในปี 2560 การโจมตีด้วยแรนซัมแวร์จำนวนมหาศาลได้ใช้ประโยชน์ จาก EternalBlue เพื่อแพร่ระบาดใน LAN และเครือข่ายไร้สายทั่วโลก EternalBlue ถูกระบุว่าเป็นส่วนหนึ่งของการถ่ายโอนข้อมูล Shadow Brokers ของเครื่องมือแฮ็ก NSA ตรวจพบคอมพิวเตอร์ที่มีช่องโหว่และแพร่กระจายเพย์โหลดที่เป็นอันตรายโดยใช้ประโยชน์จากช่องโหว่ Microsoft Server Message Block MS17-010 บนพอร์ต TCP 445 เมื่อรวม EternalBlue เข้ากับเครื่องมือลับๆ ของ NSA ที่เรียกว่า DoublePulsar ผู้โจมตีได้ติดตั้งมัลแวร์เรียกค่าไถ่ชื่อ WannaCry

อย่างไรก็ตาม นักวิจัยตรวจพบการโจมตีขนาดใหญ่อีกครั้งที่ใช้ทั้ง EternalBlue และ DoublePulsar ในการแพร่ระบาดในคอมพิวเตอร์ แต่คราวนี้มีเครื่องขุดคริปโตเคอเรนซี่ที่เรียกว่า Adylkuzz

การค้นพบนี้เกิดขึ้นหลังจากจงใจเปิดเผยเครื่องแล็บที่เสี่ยงต่อ EternalBlue นักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่าอุปกรณ์ดังกล่าวติด DoublePulsar จากการใช้ประโยชน์ที่ประสบความสำเร็จผ่าน EternalBlue จากนั้น DoublePulsar ก็เปิดทางให้ Adylkuzz สามารถเรียกใช้จากโฮสต์อื่นได้ หลังจากบล็อกการสื่อสาร SMB ผู้ขุดระบุที่อยู่ IP สาธารณะของเหยื่อและดาวน์โหลดคำแนะนำการขุดพร้อมกับเครื่องมือล้างข้อมูลบางอย่าง Adylkuzz ถูกใช้เพื่อขุด Monero cryptocurrency ในกรณีนี้โดยเฉพาะ การสังเกตที่อยู่ Monero หนึ่งในหลายที่อยู่ที่เกี่ยวข้องกับการโจมตีครั้งนี้เผยให้เห็นว่าการขุดหยุดลงหลังจากจ่ายเงิน 22,000 ดอลลาร์ไปยังที่อยู่นั้น การจ่ายเงินการขุดต่อวันที่เกี่ยวข้องกับที่อยู่หนึ่ง ๆ ยังแสดงให้เห็นว่าผู้โจมตีสลับไปมาระหว่างที่อยู่หลายแห่งเป็นประจำเพื่อหลีกเลี่ยงการโอนเหรียญ Monero ไปยังที่อยู่เดียวมากเกินไป

อาการทั่วไปของ Adylkuzz ได้แก่ การสูญเสียการเข้าถึงทรัพยากร Windows ที่ใช้ร่วมกันและประสิทธิภาพของพีซีที่แย่ลง ในหลายกรณีของการโจมตีที่น่าสงสัยของ WannaCry บนเครือข่ายองค์กรขนาดใหญ่ การไม่มีหมายเหตุเรียกค่าไถ่บ่งชี้ว่าปัญหาด้านเครือข่ายที่รายงานนั้นเกี่ยวข้องกับกิจกรรมของ Adylkuzz นักวิจัยยังอ้างว่าสถิติการติดตั้ง Adylkuzz ชี้ให้เห็นถึงผลกระทบที่มีนัยสำคัญมากกว่าการโจมตี WannaCry เนื่องจากผู้ขุดปิดเครือข่าย SMB บนคอมพิวเตอร์ที่ได้รับผลกระทบ และด้วยเหตุนี้จึงป้องกันการติดตั้งภัยคุกคามมัลแวร์เพิ่มเติมผ่านช่องโหว่เดียวกัน ดังนั้น Adylkuzz อาจจำกัดการแพร่กระจายของ WannaCry ในช่วงเวลานั้น ในระหว่างการสอบสวนมีการระบุโฮสต์กว่า 20 โฮสต์ให้สแกนและโจมตี พร้อมด้วยเซิร์ฟเวอร์ Adylkuzz Command-and-Control ที่ทำงานอยู่มากกว่าโหล

ในปัจจุบัน ช่องโหว่ที่ใช้ประโยชน์จากเครื่องมือแฮ็ก EternalBlue และ DoublePulsar ที่รั่วไหลออกมาได้รับการแก้ไขแล้ว ดังนั้นบุคคลและองค์กรต่างๆ ได้รับการกระตุ้นให้อัปเดตคอมพิวเตอร์ Windows ของตนอยู่เสมอ