Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

Il malware Adylkuzz diffuso sfruttando gli stessi exploit di WannaCry

Adylkuzz  botnet  monero  SMB  WannaCry   mercoledì, 17 maggio 2017

A seguito della recente diffusione su scala mondiale del ransomware WannaCry (WanaCrypt0r), gli esperti di sicurezza di Proofpoint hanno scoperto l’esistenza di un altro attacco di vaste proporzioni, basato sullo sfruttamento degli stessi exploit EternalBlue e DoublePulsar, utilizzati per diffondere il malware per il mining di criptovalute Adylkuzz.

Stando a quanto riportato da Proofpoint, l’attacco in questione potrebbe essere addirittura più vasto di quello di WannaCry, coinvolgendo centinaia di migliaia di PC e server in tutto il mondo. Inoltre, questo attacco chiude le porte SMB sfruttate da EternalBlue allo scopo di evitare che le macchine infette divengano preda di altri malware. Dato che l’attacco di Adylkuzz sembrerebbe essere partito almeno dal 2 maggio scorso o forse già dal 24 aprile, la sua diffusione potrebbe aver rallentato quella di WannaCry.

L’attacco proviene da una serie di server virtuali privati che effettuano scansioni della rete Internet sulla porta TCP 445 (SMB) alla ricerca di sistemi Windows vulnerabili. Il metodo di infezione iniziale è lo stesso già visto con WannaCry. Una volta ottenuto l’accesso a una macchina mediante EternalBlue, questa viene infettata con la backdoor DoublePulsar che viene quindi utilizzata per scaricare ed eseguire il malware Adylkuzz da un server remoto controllato dagli attaccanti.

Una volta lanciato sulla macchina bersaglio, come prima cosa Adylkuzz elimina eventuali precedenti istanze dello stesso malware e interrompe le comunicazioni via SMB. Successivamente, scarica dai server C&C le istruzioni per il mining, l’eseguibile cryptominer (“Msiexev.exe”) e altri componenti malevoli. I sintomi dell’infezione di Adylkuzz includono l’interruzione dell’accesso alle risorse condivise (a causa della disabilitazione del protocollo SMBv1) e un generale degrado delle prestazione della macchina.

Il mining è il metodo utilizzato dal sistema Bitcoin e dalle criptovalute in generale per emettere moneta. Al momento, la botnet creata da Adylkuzz viene utilizzata per il mining della criptovaluta open source Monero che, in generale, richiede meno risorse computazionali rispetto a Bitcoin. Di recente è stato osservato un notevole incremento delle transazioni basate su questa valuta virtuale nei principali mercati illegali presenti nel Dark Web, soprattutto quelli legati al traffico di stupefacenti.

Proofpoint ha individuato svariati indirizzi Monero associati a questo attacco, assieme ad una ventina di server compromessi utilizzati per effettuare le scansioni di rete, oltre ad una dozzina di server C&C di Adylkuzz.

Il post originale di Proofpoint contiene un’analisi dettagliata di questo malware, compresi svariati indicatori di compromissione (IoC).

Notizie correlate

Il worm EternalRocks sfrutta EternalBlue e altri sei exploit pubblicati da Shadow Brokers

23 maggio 2017

È stato individuato un nuovo worm, battezzato EternalRocks o BlueDoom, che si diffonde sfruttando l’exploit EternalBlue, già utilizzato da WannaCry, UIWIX e Adylkuzz.Leggi tutto

Il ransomware UIWIX si installa sfruttando l’exploit EternalBlue

18 maggio 2017

È stata scoperta una nuova variante di ransomware, denominata UIWIX, che viene diffusa sfruttando l'exploit EternalBlue, già utilizzato da WannaCry.Leggi tutto

Vulnerabilità in prodotti Cisco (17 maggio 2017)

18 maggio 2017

Cisco ha rilasciato il 17 maggio 2017 diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in diversi prodotti, tra cui una critica nel prodotto Cisco Prime Collaboration Provisioning.Leggi tutto