Le mineur de crypto-monnaie nommé « Adylkuzz » attaque les réseaux via les logiciels malveillants EternalBlue et DoublePulsar

Alors que le tristement célèbre WannaCry Ransomware faisait les gros titres de l'actualité de la cybersécurité en 2017, des acteurs malveillants utilisaient simultanément les mêmes exploits pour diffuser un mineur de crypto-monnaie nommé Adylkuzz. Comme WannaCry, Adylkuzz a utilisé des outils de piratage NSA divulgués pour tirer parti d'une vulnérabilité de réseau Microsoft Windows et désactiver la mise en réseau sur les appareils infectés, faisant croire aux chercheurs qu'Adylkuzz a précédé les attaques de WannaCry à bien des égards.

En 2017, une attaque massive de ransomware a exploité EternalBlue pour infecter les LAN et les réseaux sans fil dans le monde entier. EternalBlue a été identifié comme faisant partie du vidage des outils de piratage de la NSA par Shadow Brokers. Il découvre les ordinateurs vulnérables et propage les charges utiles malveillantes en exploitant la vulnérabilité Microsoft Server Message Block MS17-010 sur le port TCP 445. En combinant EternalBlue avec un autre outil de porte dérobée de la NSA appelé DoublePulsar , les attaquants ont installé la célèbre menace de ransomware WannaCry .

Cependant, les chercheurs ont détecté une autre attaque à grande échelle qui utilisait également EternalBlue et DoublePulsar pour infecter les ordinateurs, mais cette fois avec un mineur de crypto-monnaie appelé Adylkuzz.

La découverte a été faite après avoir délibérément exposé une machine de laboratoire vulnérable à EternalBlue. Les chercheurs en cybersécurité ont découvert que l'appareil avait été infecté par DoublePulsar lors d'une exploitation réussie via EternalBlue. Ensuite, DoublePulsar a ouvert la voie à Adylkuzz pour fonctionner à partir d'un autre hôte. Après avoir bloqué la communication SMB, le mineur a déterminé l'adresse IP publique de la victime et a téléchargé les instructions de minage ainsi que certains outils de nettoyage. Adylkuzz a été utilisé pour exploiter la crypto-monnaie Monero dans ce cas particulier. L'observation de l'une des nombreuses adresses Monero associées à cette attaque révèle que l'exploitation minière a cessé après que 22 000 $ aient été payés à cette adresse. Les paiements miniers par jour associés à une adresse spécifique montrent également que les attaquants ont régulièrement basculé entre plusieurs adresses pour éviter que trop de pièces Monero ne soient transférées vers une seule adresse.

Les symptômes courants d'Adylkuzz incluent la perte d'accès aux ressources Windows partagées et la détérioration des performances du PC. Dans plusieurs cas d'attaques présumées de WannaCry sur des réseaux d'entreprise à grande échelle, l'absence de note de rançon implique que les problèmes de réseau signalés étaient en fait associés à l'activité d'Adylkuzz. Les chercheurs affirment même que les statistiques d'installation d'Adylkuzz suggèrent un impact beaucoup plus important que l'attaque WannaCry, car le mineur arrête le réseau SMB sur les ordinateurs concernés et empêche ainsi l'installation de menaces de logiciels malveillants supplémentaires via la même vulnérabilité. Ainsi, Adylkuzz a peut-être en fait limité la propagation de WannaCry pendant cette période. Plus de 20 hôtes à analyser et à attaquer ont été identifiés au cours de l'enquête, ainsi que plus d'une douzaine de serveurs de commande et de contrôle Adylkuzz actifs.

Actuellement, les vulnérabilités exploitées par les outils de piratage EternalBlue et DoublePulsar divulgués ont été corrigées, de sorte que les particuliers et les organisations sont invités à maintenir leurs ordinateurs Windows à jour à tout moment.