Kryptowährungs-Miner namens „Adylkuzz“ greift Netzwerke über EternalBlue- und DoublePulsar-Malware an

Während die berüchtigte Ransomware WannaCry 2017 Schlagzeilen in den Cybersicherheitsnachrichten machte, hatten böswillige Akteure gleichzeitig dieselben Exploits verwendet, um einen Kryptowährungsschürfer namens Adylkuzz zu verbreiten. Wie WannaCry nutzte Adylkuzz durchgesickerte NSA-Hacking-Tools , um eine Microsoft Windows-Netzwerkschwachstelle auszunutzen und Netzwerke auf infizierten Geräten zu deaktivieren, was die Forscher glauben ließ, dass Adylkuzz in vielerlei Hinsicht vor WannaCry-Angriffen stand.

Im Jahr 2017 nutzte ein massiver Ransomware-Angriff EternalBlue aus, um LANs und drahtlose Netzwerke weltweit zu infizieren. EternalBlue wurde als Teil des Shadow Brokers-Dumps von NSA-Hacking-Tools identifiziert. Es entdeckt anfällige Computer und verbreitet bösartige Payloads, indem es die Microsoft Server Message Block MS17-010-Schwachstelle auf TCP-Port 445 ausnutzt. Angreifer kombinierten EternalBlue mit einem anderen NSA-Backdoor-Tool namens DoublePulsar und installierten die berüchtigte Ransomware-Bedrohung WannaCry .

Die Forscher entdeckten jedoch einen weiteren groß angelegten Angriff, bei dem sowohl EternalBlue als auch DoublePulsar verwendet wurden, um Computer zu infizieren, diesmal jedoch mit einem Kryptowährungs-Miner namens Adylkuzz.

Die Entdeckung wurde gemacht, nachdem ein Laborgerät absichtlich für EternalBlue anfällig war. Cybersicherheitsforscher fanden heraus, dass das Gerät bei erfolgreicher Ausnutzung durch EternalBlue mit DoublePulsar infiziert wurde. Dann öffnete DoublePulsar Adylkuzz den Weg, um von einem anderen Host wegzulaufen. Nach dem Blockieren der SMB-Kommunikation ermittelte der Miner die öffentliche IP-Adresse des Opfers und lud die Mining-Anweisungen zusammen mit bestimmten Bereinigungstools herunter. Adylkuzz wurde in diesem speziellen Fall zum Schürfen der Monero-Kryptowährung verwendet. Die Beobachtung einer der mehreren mit diesem Angriff verbundenen Monero-Adressen zeigt, dass das Mining eingestellt wurde, nachdem 22.000 US-Dollar an diese Adresse gezahlt wurden. Die mit einer bestimmten Adresse verbundenen Mining-Zahlungen pro Tag zeigen auch, dass die Angreifer regelmäßig zwischen mehreren Adressen wechselten, um zu vermeiden, dass zu viele Monero-Münzen an eine einzige Adresse übertragen werden.

Häufige Symptome von Adylkuzz sind der verlorene Zugriff auf gemeinsam genutzte Windows-Ressourcen und die Verschlechterung der PC-Leistung. In mehreren Fällen mutmaßlicher WannaCry-Angriffe auf große Unternehmensnetzwerke deutet das Fehlen einer Lösegeldforderung darauf hin, dass die gemeldeten Netzwerkprobleme tatsächlich mit Adylkuzz-Aktivitäten in Verbindung standen. Forscher behaupten sogar, dass die Adylkuzz-Installationsstatistiken auf eine viel größere Auswirkung hindeuten als der WannaCry-Angriff, da der Miner das SMB-Netzwerk auf betroffenen Computern herunterfährt und so die Installation zusätzlicher Malware-Bedrohungen durch dieselbe Schwachstelle verhindert. Daher könnte Adylkuzz die Verbreitung von WannaCry in diesem Zeitraum tatsächlich eingeschränkt haben. Während der Untersuchung wurden über 20 zu scannende und anzugreifende Hosts identifiziert, zusammen mit über einem Dutzend aktiver Adylkuzz Command-and-Control-Server.

Derzeit wurden die Schwachstellen, die von den durchgesickerten Hacking-Tools EternalBlue und DoublePulsar ausgenutzt wurden, gepatcht, sodass Einzelpersonen und Organisationen aufgefordert werden, ihre Windows-Computer jederzeit auf dem neuesten Stand zu halten.