Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Il malware Adylkuzz diffuso sfruttando gli stessi exploit di WannaCry

Adylkuzz  botnet  EternalBlue  monero  SMB  WannaCry   mercoledì, 17 maggio 2017

A seguito della recente diffusione su scala mondiale del ransomware WannaCry (WanaCrypt0r), gli esperti di sicurezza di Proofpoint hanno scoperto l’esistenza di un altro attacco di vaste proporzioni, basato sullo sfruttamento degli stessi exploit EternalBlue e DoublePulsar, utilizzati per diffondere il malware per il mining di criptovalute Adylkuzz.

Stando a quanto riportato da Proofpoint, l’attacco in questione potrebbe essere addirittura più vasto di quello di WannaCry, coinvolgendo centinaia di migliaia di PC e server in tutto il mondo. Inoltre, questo attacco chiude le porte SMB sfruttate da EternalBlue allo scopo di evitare che le macchine infette divengano preda di altri malware. Dato che l’attacco di Adylkuzz sembrerebbe essere partito almeno dal 2 maggio scorso o forse già dal 24 aprile, la sua diffusione potrebbe aver rallentato quella di WannaCry.

L’attacco proviene da una serie di server virtuali privati che effettuano scansioni della rete Internet sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili. Il metodo di infezione iniziale è lo stesso già visto con WannaCry. Una volta ottenuto l’accesso a una macchina mediante EternalBlue, questa viene infettata con la backdoor DoublePulsar che viene quindi utilizzata per scaricare ed eseguire il malware Adylkuzz da un server remoto controllato dagli attaccanti.

Una volta lanciato sulla macchina bersaglio, come prima cosa Adylkuzz elimina eventuali precedenti istanze dello stesso malware e interrompe le comunicazioni via SMB. Successivamente, scarica dai server C&C le istruzioni per il mining, l’eseguibile cryptominer (“Msiexev.exe”) e altri componenti malevoli. I sintomi dell’infezione di Adylkuzz includono l’interruzione dell’accesso alle risorse condivise (a causa della disabilitazione del protocollo SMBv1) e un generale degrado delle prestazione della macchina.

Il mining è il metodo utilizzato dal sistema Bitcoin e dalle criptovalute in generale per emettere moneta. Al momento, la botnet creata da Adylkuzz viene utilizzata per il mining della criptovaluta open source Monero che, in generale, richiede meno risorse computazionali rispetto a Bitcoin. Di recente è stato osservato un notevole incremento delle transazioni basate su questa valuta virtuale nei principali mercati illegali presenti nel Dark Web, soprattutto quelli legati al traffico di stupefacenti.

Proofpoint ha individuato svariati indirizzi Monero associati a questo attacco, assieme ad una ventina di server compromessi utilizzati per effettuare le scansioni di rete, oltre ad una dozzina di server C&C di Adylkuzz.

Il post originale di Proofpoint contiene un’analisi dettagliata di questo malware, compresi svariati indicatori di compromissione (IoC).

Notizie correlate

In corso massiccia campagna di diffusione del ransomware Petya

27 giugno 2017

È attualmente in corso una massiccia campagna di diffusione di una variante del ransomware Petya che si sta diffondendo rapidamente sulla rete sfruttando l'exploit EternalBlue.Leggi tutto

EternalRed: vulnerabilità di Samba sfruttata in attacchi reali a sistemi Linux

12 giugno 2017

I ricercatori di Kaspersky Lab hanno individuato una campagna di attacchi che sfrutta la vulnerabilità di Samba CVE-2017-7494, battezzata EternalRed, per impiantare un tool per il mining di criptovalute.Leggi tutto

Il worm EternalRocks sfrutta EternalBlue e altri sei exploit pubblicati da Shadow Brokers

23 maggio 2017

È stato individuato un nuovo worm, battezzato EternalRocks o BlueDoom, che si diffonde sfruttando l’exploit EternalBlue, già utilizzato da WannaCry, UIWIX e Adylkuzz.Leggi tutto