Minero de criptomonedas llamado 'Adylkuzz' ataca redes a través de malware EternalBlue y DoublePulsar

Mientras que el infame WannaCry Ransomware apareció en los titulares de las noticias de seguridad cibernética en 2017, los actores maliciosos habían estado usando simultáneamente los mismos exploits para propagar un minero de criptomonedas llamado Adylkuzz. Al igual que WannaCry, Adylkuzz usó herramientas de piratería de la NSA filtradas para aprovechar una vulnerabilidad de red de Microsoft Windows y deshabilitar la red en dispositivos infectados, lo que hizo que los investigadores creyeran que Adylkuzz era anterior a los ataques de WannaCry de muchas maneras.

En 2017, un ataque masivo de ransomware explotó EternalBlue para infectar LAN y redes inalámbricas en todo el mundo. EternalBlue ha sido identificado como parte del volcado de Shadow Brokers de herramientas de piratería de la NSA. Descubre computadoras vulnerables y propaga cargas maliciosas aprovechando la vulnerabilidad Microsoft Server Message Block MS17-010 en el puerto TCP 445. Combinando EternalBlue con otra herramienta de puerta trasera de la NSA llamada DoublePulsar , los atacantes instalaron la notoria amenaza de ransomware WannaCry .

Sin embargo, los investigadores detectaron otro ataque a gran escala que también empleó EternalBlue y DoublePulsar para infectar computadoras, pero esta vez con un minero de criptomonedas llamado Adylkuzz.

El descubrimiento se realizó después de exponer deliberadamente una máquina de laboratorio vulnerable a EternalBlue. Los investigadores de ciberseguridad descubrieron que el dispositivo se infectó con DoublePulsar luego de una explotación exitosa a través de EternalBlue. Luego, DoublePulsar abrió el camino para que Adylkuzz se ejecutara desde otro host. Después de bloquear la comunicación SMB, el minero determinó la dirección IP pública de la víctima y descargó las instrucciones de minería junto con ciertas herramientas de limpieza. Adylkuzz se ha utilizado para extraer la criptomoneda Monero en este caso particular. La observación de una de las varias direcciones de Monero asociadas con este ataque revela que la minería cesó después de que se pagaron $ 22,000 a esa dirección. Los pagos de minería por día asociados con una dirección específica también muestran que los atacantes cambiaban regularmente entre varias direcciones para evitar que se transfirieran demasiadas monedas Monero a una sola dirección.

Los síntomas comunes de Adylkuzz incluyen la pérdida de acceso a los recursos compartidos de Windows y el deterioro del rendimiento de la PC. En varios casos de presuntos ataques de WannaCry en redes corporativas a gran escala, la falta de una nota de rescate implica que los problemas de red informados en realidad estaban asociados con la actividad de Adylkuzz. Los investigadores incluso afirman que las estadísticas de instalación de Adylkuzz sugieren un impacto mucho más significativo que el ataque WannaCry, ya que el minero apaga la red SMB en las computadoras afectadas y, por lo tanto, evita la instalación de amenazas de malware adicionales a través de la misma vulnerabilidad. Por lo tanto, es posible que Adylkuzz haya limitado la propagación de WannaCry durante ese período. Durante la investigación se identificaron más de 20 hosts para escanear y atacar, junto con más de una docena de servidores de comando y control Adylkuzz activos.

Actualmente, las vulnerabilidades explotadas por las herramientas de piratería filtradas EternalBlue y DoublePulsar han sido parcheadas, por lo que se insta a las personas y organizaciones a mantener sus computadoras con Windows actualizadas en todo momento.