i ricercatori di sicurezza di Proofpoint appena rivelato che c'è stato un altro attacco che ha usato gli stessi exploit dispiegati nel WannaCry epidemia globale ransomware. Più in particolare, Kafeine ricercatore di Proofpoint dice che l'EternalBlue exploit è stato utilizzato insieme ad una backdoor delineato come DoublePulsar. Entrambi sono stati schierati nel funzionamento WannaCry. Invece di ransomware, tuttavia, quest'altra campagna stava distribuendo software data mining criptovaluta identificato come Adylkuzz.
Dettagli tecnici circa Adylkuzz WannaCry
Proodpoint dice che hanno scoperto “un altro attacco molto larga scala utilizzando sia EternalBlue e DoublePulsar installare il minatore criptovaluta Adylkuzz."
I primi dati indicano che questo attacco potrebbe essere più grande in scala di WannaCry, che colpisce centinaia di migliaia di PC e server in tutto il mondo: perché questo attacco si spegne di rete SMB per prevenire ulteriori infezioni con altri tipi di malware (cynnwys il worm WannaCry) tramite lo stesso vulnerabilità, essa può avere di fatto limitato la diffusione dell'infezione WannaCry della scorsa settimana.
I ricercatori ritengono che l'attacco Adylkuzz iniziato tra aprile 24 e forse 2. Simile alla campagna ransomware WannaCry, questo attacco è stato anche macchine rivolte abbastanza successo che non aveva ancora installato gli aggiornamenti Microsoft da marzo che hanno affrontato le vulnerabilità sfruttate.
AdylKuzz Discovery
q Nel corso della ricerca della campagna WannaCry, abbiamo esposto una macchina laboratorio vulnerabile all'attacco EternalBlue. Mentre ci aspettavamo di vedere WannaCry, la macchina del laboratorio è stato effettivamente infettato da un ospite inatteso e meno rumorosa: l'Adylkuzz criptovaluta minatore. Abbiamo ripetuto l'operazione più volte con lo stesso risultato: entro 20 minuti di esporre una macchina vulnerabile al web aperto, si iscrisse in una botnet mineraria Adylkuzz.
sintomi AdylKuzz
La perdita di accesso alle risorse condivise di Windows e il degrado dei PC e le prestazioni del server sono tra i primi sintomi di questo malware.
Diversi grandi organizzazioni hanno inoltre riferito problemi di rete che sono stati originariamente attribuiti alla campagna WannaCry, osservano i ricercatori. Queste organizzazioni problemi stavano avendo sono molto probabilmente innescato da Adylkuzz attività, in quanto non vi era alcuna relazione note di riscatto. Peggio ancora è che questo attacco sembra essere in corso e anche se non ha ricevuto molta attenzione, è certamente “abbastanza grande e potenzialmente molto dirompente".
L'attacco Adylkuzz viene avviata da diversi server virtuali private noti per essere in maniera massiccia la scansione di Internet sulla porta TCP 445 per le potenziali vittime. Una volta che la macchina viene sfruttata tramite EternalBlue, viene poi infettato con il backdoor DoublePulsar. La prossima fase di attacco è il download e l'attivazione di Adylkuzz che è gestito da un altro host. Una volta che il malware esegue esso deve prima fermare eventuali casi di per sé già funzionante bloccherà comunicazione SMB per evitare ulteriori infezioni, spiegano i ricercatori nella loro relazione.
Infine, Adylkuzz determina l'indirizzo IP pubblico della vittima e scarica le istruzioni di data mining, il cryptominer, e alcuni strumenti di pulizia. Anche, ci sono più server di comando e controllo Adylkuzz che ospitano i binari cryptominer e le istruzioni di data mining in qualsiasi momento.
Adylkuzz viene utilizzato per miniera Monero criptovaluta
valuta (DVDRip) è pubblicizzato come un sicuro, privato, valuta irreperibile. E 'open-source e liberamente a disposizione di tutti. con valuta, siete la propria banca. Secondo l'ufficiale di valuta sito web, solo di controllare e sono responsabili per i fondi, e gli account e le transazioni sono mantenuti privati da occhi indiscreti.
All'inizio di quest'anno, abbiamo scritto circa il potenziale criminale del Monero, che aveva attirato l'attenzione della Federal Bureau grazie alla possibilità di exploit criminali.
Valuta è stato lanciato nel 2014 e ha caratteristiche avanzate privacy. Si tratta di un fork del codice di base Bytecoin e utilizza le firme anello di identità-oscurando. Questo è il modo in cui il criptovaluta nasconde cui i fondi sono stati inviati in entrambe le direzioni - a chi e da chi.
I ricercatori dicono che hanno identificato più di 20 ospitare configurazioni per la scansione e l'attacco. Sono anche a conoscenza di più di una dozzina di comando Adylkuzz attiva e controllare i server. Ci sono probabilmente molti altri Monero indirizzi di pagamento mineraria e server di comando e controllo Adylkuzz.
Perché i ricercatori provenienti da diverse società di sicurezza si aspettano molti attacchi più associate a seguire, è altamente raccomandato che entrambe le organizzazioni e gli utenti domestici di applicare le patch immediatamente i loro sistemi al fine di evitare ogni compromesso.