Майнер криптовалют під назвою Adylkuzz атакує мережі через зловмисне програмне забезпечення EternalBlue і DoublePulsar

У той час як сумнозвісне програмне забезпечення-вимагач WannaCry потрапило в заголовки новин про кібербезпеку в 2017 році, зловмисники одночасно використовували ті самі експлойти для поширення майнера криптовалют під назвою Adylkuzz. Як і WannaCry, Adylkuzz використовував витік хакерських інструментів NSA, щоб використати мережеву вразливість Microsoft Windows і вимкнути мережу на заражених пристроях, що змушує дослідників вважати, що Adylkuzz багато в чому передував атакам WannaCry.

У 2017 році масштабна атака програм-вимагачів використовувала EternalBlue для зараження локальних і бездротових мереж по всьому світу. EternalBlue було ідентифіковано як частину інструментів злому АНБ, створених Shadow Brokers. Він виявляє вразливі комп’ютери та поширює зловмисне корисне навантаження, використовуючи вразливість Microsoft Server Message Block MS17-010 на порту TCP 445. Поєднавши EternalBlue з іншим бекдор-інструментом АНБ під назвою DoublePulsar , зловмисники встановили горезвісну загрозу -вимагач WannaCry .

Однак дослідники виявили ще одну масштабну атаку, яка також використовувала EternalBlue і DoublePulsar для зараження комп’ютерів, але цього разу з майнером криптовалют під назвою Adylkuzz.

Це відкриття було зроблено після навмисного виявлення лабораторної машини, вразливої до EternalBlue. Дослідники з кібербезпеки з’ясували, що пристрій було заражено DoublePulsar після успішної експлуатації через EternalBlue. Потім DoublePulsar відкрив шлях для запуску Adylkuzz з іншого хоста. Після блокування зв’язку SMB майнер визначив загальнодоступну IP-адресу жертви та завантажив інструкції з майнінгу разом із певними інструментами очищення. У цьому конкретному випадку Adylkuzz використовувався для майнінгу криптовалюти Monero. Спостереження за однією з кількох адрес Monero, пов’язаних з цією атакою, показує, що майнінг припинився після того, як на цю адресу було сплачено 22 000 доларів США. Щоденні платежі за майнінг, пов’язані з однією конкретною адресою, також показують, що зловмисники регулярно перемикалися між кількома адресами, щоб уникнути переказу надто великої кількості монет Monero на одну адресу.

Загальні симптоми Adylkuzz включають втрату доступу до спільних ресурсів Windows і погіршення продуктивності ПК. У кількох випадках ймовірних атак WannaCry на великомасштабні корпоративні мережі відсутність повідомлення про викуп означає, що повідомлені проблеми з мережею насправді були пов’язані з діяльністю Adylkuzz. Дослідники навіть стверджують, що статистика встановлення Adylkuzz свідчить про значно більший вплив, ніж атака WannaCry, оскільки майнер вимикає мережу SMB на уражених комп’ютерах і таким чином запобігає встановленню додаткових загроз зловмисного програмного забезпечення через ту саму вразливість. Таким чином, Adylkuzz міг фактично обмежити розповсюдження WannaCry протягом цього періоду. Під час розслідування було виявлено понад 20 хостів для сканування та атаки, а також понад десяток активних командно-контрольних серверів Adylkuzz.

Наразі уразливості, використовувані витоком інструментів злому EternalBlue і DoublePulsar, виправлено, тому окремим особам і організаціям настійно рекомендується постійно оновлювати свої комп’ютери Windows.