Les chercheurs en sécurité à Proofpoint vient de révéler qu'il ya eu une autre attaque qui a utilisé les mêmes exploits déployés dans l'épidémie de ransomware mondiale WannaCry. Plus particulièrement, Le chercheur Kafeine Proofpoint dit que le EternalBlue exploit a été utilisé avec une porte dérobée décrit comme DoublePulsar. Les deux d'entre eux ont été déployés dans l'opération WannaCry. Au lieu de ransomware, cependant, cette autre campagne a été la distribution de logiciels d'extraction de crypto-monnaie identifié comme Adylkuzz.
Détails techniques sur Adylkuzz WannaCry
Proodpoint dit qu'ils ont découvert «une autre attaque très grande échelle utilisant à la fois EternalBlue et DoublePulsar pour installer le mineur Adylkuzz crypto-monnaie."
Les premières statistiques suggèrent que cette attaque peut être plus grande à l'échelle de WannaCry, touchant des centaines de milliers de PC et serveurs dans le monde: parce que cette attaque se arrête réseau SMB pour prévenir de nouvelles infections avec d'autres logiciels malveillants (cynnwys le ver WannaCry) par l'intermédiaire de cette même vulnérabilité, il peut avoir en fait limité la propagation de l'infection WannaCry la semaine dernière.
Les chercheurs croient que l'attaque a commencé Adylkuzz entre Avril 24 et peut être 2. Semblable à la campagne ransomware WannaCry, cette attaque a également été machines ciblant beaucoup de succès qui n'a pas encore installé les mises à jour Microsoft de Mars qui portaient sur les vulnérabilités exploitées.
AdylKuzz Découverte
q Au cours de recherches sur la campagne WannaCry, nous avons exposé une machine de laboratoire vulnérable à l'attaque EternalBlue. Alors que nous nous attendions à voir WannaCry, la machine de laboratoire était en fait infecté par un invité inattendu et moins bruyant: le mineur de Adylkuzz crypto-monnaie. Nous avons répété l'opération plusieurs fois avec le même résultat: dans 20 minutes d'exposition d'une machine vulnérable à la toile ouverte, il a été inscrit dans un botnet minier Adylkuzz.
Les symptômes AdylKuzz
La perte d'accès aux ressources partagées de Windows et la dégradation des PC et les performances du serveur sont parmi les symptômes de ce logiciel malveillant.
Plusieurs grandes organisations ont également signalé des problèmes de réseau qui ont été attribués à l'origine de la campagne WannaCry, les chercheurs notent. Ces problèmes organisations avaient sont très probablement déclenchées par l'activité Adylkuzz, car il n'y avait pas de rapport de rançon. Le pire est que cette attaque semble être en cours et même si elle n'a pas reçu beaucoup d'attention, il est certainement «assez grand et potentiellement très perturbateur".
L'attaque Adylkuzz est lancée à partir de plusieurs serveurs privés virtuels connus à la numérisation massive de l'Internet sur le port TCP 445 pour les victimes potentielles. Une fois que la machine est exploitée avec succès par EternalBlue, il est alors infecté par la porte dérobée DoublePulsar. La prochaine étape de l'attaque est le téléchargement et l'activation de Adylkuzz qui est exécuté à partir d'un autre hôte. Une fois le logiciel malveillant est en cours d'exécution, il va d'abord arrêter les cas potentiels de se déjà en cours d'exécution et bloque la communication SMB pour éviter une nouvelle infection, les chercheurs expliquent dans leur rapport.
Enfin, Adylkuzz détermine l'adresse IP publique de la victime et télécharge les instructions minières, le cryptominer, et des outils de nettoyage. Aussi, il y a plusieurs serveurs de commande et de contrôle Adylkuzz hébergeant les binaires cryptominer et les instructions d'exploitation à tout moment.
Adylkuzz est utilisé à la mine Monero crypto-monnaie
monnaie (DVDRip) est annoncé comme sécurisé, privé, monnaie introuvable. Il est open-source et librement accessible à tous. Avec devise, vous êtes votre propre banque. Selon le fonctionnaire de monnaie site Internet, que vous contrôlez et êtes responsable de vos fonds, et vos comptes et les transactions sont tenus confidentiels des regards indiscrets.
Plus tôt cette année, nous avons écrit au sujet du potentiel criminel de Monero, qui avait attiré l'attention du Bureau fédéral en raison de la possibilité d'exploits criminels.
Monnaie a été lancé en 2014 et a amélioré les fonctionnalités de confidentialité. Il est un fork du code de base Bytecoin et il utilise des signatures d'anneau occultant l'identité. Voici comment le masque dont les fonds crypto-monnaie ont été envoyés dans les deux sens - à qui et par qui.
Les chercheurs disent qu'ils ont identifié plus de 20 hôte des configurations à analyser et attaque. Ils sont également conscients de plus d'une douzaine de commande Adylkuzz active et serveurs de contrôle. Il y a peut-être beaucoup plus d'adresses de paiement de l'exploitation minière Monero et les serveurs de commande et de contrôle Adylkuzz.
Parce que les chercheurs de diverses sociétés de sécurité attendent de nombreuses attaques plus associées à suivre, il est fortement recommandé que les deux organisations et les utilisateurs à domicile patcher leurs systèmes immédiatement pour éviter tout compromis.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: