Sikkerhed forskere på Proofpoint viste bare, at der har været endnu et angreb, der bruges de samme bedrifter indsat i WannaCry globale ransomware udbrud. Mere specielt, Proofpoint s Kafeine forsker siger, at EternalBlue udnytte har været brugt sammen med en bagdør skitseret som DoublePulsar. Begge blev indsat i WannaCry drift. I stedet for ransomware, dog, denne anden kampagne var distribuere cryptocurrency minedrift software identificeret som Adylkuzz.
Tekniske Detaljer om Adylkuzz WannaCry
Proodpoint siger at de opdagede ”en anden meget stor skala angreb ved hjælp af både EternalBlue og DoublePulsar at installere cryptocurrency minearbejder Adylkuzz."
De første statistikker tyder på, at dette angreb kan være større i omfang end WannaCry, påvirker hundredtusindvis af pc'er og servere på verdensplan: fordi dette angreb lukker ned SMB netværk til at forhindre yderligere infektioner med andre malware (cynnwys den WannaCry ormen) via dette samme sårbarhed, det kan have faktisk begrænset udbredelsen af sidste uges WannaCry infektion.
Forskerne mener, at det Adylkuzz angreb startede mellem april 24 og maj 2. Svarende til WannaCry ransomware kampagne, dette angreb var også ganske vellykket målretning maskiner, der endnu ikke havde installeret Microsoft-opdateringer fra marts, der adresserede de udbyttede sårbarheder.
AdylKuzz Discovery
q I løbet af forske WannaCry kampagne, vi udsat en lab maskine sårbare over for EternalBlue angreb. Mens vi forventede at se WannaCry, laboratoriet maskinen var faktisk inficeret med en uventet og mindre støjende gæst: den cryptocurrency minearbejder Adylkuzz. Vi gentog operationen flere gange med samme resultat: inden for 20 minutter af at udsætte en sårbar maskine til det åbne web, det blev indskrevet i en Adylkuzz minedrift botnet.
AdylKuzz Symptomer
Tab af adgang til fælles ressourcer og nedbrydning af pc og server ydeevne Windows er blandt de øverste symptomer på denne malware.
Adskillige store organisationer også rapporteret netværksproblemer, der oprindeligt blev tilskrevet den WannaCry kampagne, forskerne note. Disse problemer organisationer havde er mest sandsynligt udløst af Adylkuzz aktivitet, da der ikke var nogen rapport af løsepenge noter. Værre er, at dette angreb synes at være i gang, og selv om det ikke har fået megen opmærksomhed, det er helt sikkert ”ganske store og potentielt ganske forstyrrende".
Den Adylkuzz angreb startes fra flere virtuelle private servere er kendt for at være massivt scanne internettet på TCP port 445 til potentielle ofre. Når maskinen er held til at udnytte via EternalBlue, den er så inficeret med DoublePulsar bagdør. Den næste fase af angrebet er download og aktivering af Adylkuzz som køres fra en anden vært. Når malwaren kører det vil først stoppe eventuelle forekomster af sig selv allerede kører og vil blokere SMB kommunikation for at undgå yderligere smitte, forskerne forklarer i deres rapport.
Endelig, Adylkuzz bestemmer offentlige IP-adresse af offeret og henter instruktionerne minedrift, den cryptominer, og nogle oprydning værktøjer. Også, der er flere Adylkuzz kommando og kontrol servere, der hoster de cryptominer binære filer og instruktioner minedrift til enhver tid.
Adylkuzz bliver brugt til Mine Monero Cryptocurrency
valuta (DVDRip) er annonceret som en sikker, privat, spores valuta. Det er open source og frit tilgængeligt for alle. med Valuta, du er din egen bank. Ifølge Valuta officielle internet side, kun du styre og er ansvarlig for dine penge, og dine konti og transaktioner holdes privat fra nysgerrige øjne.
Tidligere i år, vi skrev om den kriminelle potentiale Monero, der havde henledt Federal Bureau på grund af muligheden for kriminelle udnytter.
Valuta blev lanceret i 2014 og har forbedrede beskyttelse af personlige oplysninger. Det er en gaffel i Bytecoin kodebase og det bruger identitetsskabende tilslører ring signaturer. Dette er, hvordan det cryptocurrency skjuler hvilke midler er blevet sendt i begge retninger - til hvem og af hvem.
Forskerne siger, at de har identificeret mere end 20 vært opsætninger at scanne og angribe. De er også klar over, mere end et dusin aktiv Adylkuzz kommando og kontrol-servere. Der er muligvis mange flere Monero minedrift betaling adresser og Adylkuzz kommando og kontrol-servere.
Fordi forskere fra forskellige sikkerhedsfirmaer forventer mange flere tilknyttede angreb for at følge, det anbefales, at begge organisationer og private brugere lappe deres systemer straks for at undgå ethvert kompromis.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: