Los investigadores de seguridad en Proofpoint acaba de revelar que ha habido otro ataque que usa las mismas hazañas desplegadas en el brote mundial ransomware WannaCry. Más particularmente, investigador Kafeine de Proofpoint dice que el EternalBlue explotar ha sido utilizado junto con una puerta trasera se describe como DoublePulsar. Ambos fueron desplegados en la operación WannaCry. En lugar de ransomware, sin embargo, esta otra campaña estaba distribuyendo software de minería criptomoneda identificado como Adylkuzz.
Detalles técnicos sobre Adylkuzz WannaCry
Proodpoint dice que descubrieron “otro ataque muy gran escala utilizando tanto EternalBlue y DoublePulsar para instalar el minero criptomoneda Adylkuzz."
Las estadísticas iniciales sugieren que este ataque puede ser más grande en escala que WannaCry, que afecta a cientos de miles de ordenadores y servidores en todo el mundo: porque este ataque se apaga de red SMB para prevenir nuevas infecciones con otros programas maliciosos (cynnwys el gusano WannaCry) a través de esa misma vulnerabilidad, que puede tener de hecho limita la propagación de la infección WannaCry de la semana pasada.
Los investigadores creen que el ataque comenzó Adylkuzz entre abril 24 y puede 2. Al igual que en la campaña ransomware WannaCry, este ataque fue también máquinas de orientación bastante éxito que aún no se habían instalado las actualizaciones de Microsoft a partir de marzo que abordaron las vulnerabilidades explotadas.
AdylKuzz Descubrimiento
q En el curso de la investigación de la campaña WannaCry, expusimos una máquina de laboratorio vulnerable al ataque EternalBlue. Mientras esperábamos ver WannaCry, la máquina de laboratorio fue realmente infectado con un invitado inesperado y menos ruidoso: la Adylkuzz criptomoneda minero. Repetimos la operación varias veces con el mismo resultado: dentro 20 minutos de la exposición de una máquina vulnerable a la web abierta, que fue inscrito en una red de bots minera Adylkuzz.
Los síntomas AdylKuzz
La pérdida de acceso a los recursos compartidos de Windows y la degradación del PC y el rendimiento del servidor son algunos de los síntomas principales de este malware.
Varias organizaciones de gran tamaño también informó de problemas de red que se atribuyeron inicialmente a la campaña WannaCry, los investigadores. Estas organizaciones están teniendo problemas fueron muy probablemente provocada por la actividad Adylkuzz, ya que no había ningún informe de notas de rescate. Peor aún es que este ataque parece ser continua y a pesar de que no ha recibido mucha atención, es sin duda “bastante grande y potencialmente muy perjudicial".
El ataque Adylkuzz se inicia desde varios servidores privados virtuales que se sabe que el escaneo de forma masiva la Internet en el puerto TCP 445 para las víctimas potenciales. Una vez que la máquina se explota con éxito a través de EternalBlue, A continuación, se infecta con la puerta trasera DoublePulsar. La siguiente etapa del ataque es la descarga y activación de Adylkuzz que se ejecuta desde otro host. Una vez que el software malicioso se está ejecutando se detenga primero todas las instancias posibles de sí mismo ya abiertos y bloqueará la comunicación SMB para evitar futuras infecciones, explican los investigadores en su informe.
Finalmente, Adylkuzz determina la dirección IP pública de la víctima y descarga las instrucciones mineras, la cryptominer, y algunas herramientas de limpieza. También, hay varios servidores de comando y control de hosting Adylkuzz los binarios cryptominer e instrucciones mineras en cualquier momento.
Adylkuzz se utiliza para la mina Monero criptomoneda
moneda (DVDRip) se anuncia como un seguro, privado, moneda imposible de encontrar. Es de código abierto y libre disposición de todos. con moneda, usted es su propio banco. De acuerdo con oficiales de divisas sitio web, Sólo se controla y es responsable de sus fondos, y sus cuentas y las transacciones se mantienen privadas de miradas indiscretas.
A principios de este año, escribimos sobre el potencial criminal de Moneo, que había llamado la atención de la Oficina Federal debido a la posibilidad de hazañas criminales.
Moneda se lanzó en 2014 y tiene características mejoradas de privacidad. Es un tenedor de la base de código Bytecoin y utiliza firmas anillo de identidad-oscureciendo. Así es como el criptomoneda oculta el cual los fondos han sido enviados en ambas direcciones - a quién y por quién.
Los investigadores dicen que han identificado más de 20 sede de configuraciones que deben analizarse y ataque. También son conscientes de más de una docena de comandos Adylkuzz activo y servidores de control. Hay posiblemente muchas más direcciones de pago Monero la minería y los servidores de comando y control Adylkuzz.
Debido a que los investigadores de varias empresas de seguridad esperan muchos más ataques asociados a seguir, es muy recomendable que ambas organizaciones y usuarios domésticos revisión a sus sistemas de inmediato para evitar cualquier compromiso.