Вирус Adylkuzz атаковал мир раньше WannaCry

Вкратце про WannaCry

Как уже известно, в пятницу, 12 мая, началась массированная вирусная атака. Вирус-шифровальщик WannaCry распространялся по компьютерным сетям всего мира.

Для быстрого распространения через корпоративные и беспроводные сети, WannaCryиспользовал эксплойт EternalBlue. EternalBlue в свою очередь был частью украденных группировкой Shadow Brokers у АНБ инструментов взлома.

Эксплойт использовал уязвимость MS17-010 в технологии SMB (Server Message Block) для поиска в сети уязвимых компьютеров с открытым 445-ым TCP-портом.

Создатели вируса использовали технологию АНБ в своих целях. Они снарядили своё творение дополнительными функциями, включая бэкдор DoublePulsar, который позволил устанавливать программу-вымогатель, известную как WannaCry.

Появление вируса Adylkuzz

Однако, в течение следующих выходных исследователями компании Proofpoint была выявлена ещё одна крупномасштабная атака с использованием EternalBlue и DoublePulsar — мир атаковал вирус Adylkuzz.


После анализа статистики сотрудники Proofpoint заключили, что атака вируса Adylkuzz может быть ещё более масштабной по сравнению с WannaCry. Вирус Adylkuzz использует те же технологии, что и WannaCry. Отличается он тем, что, попав на компьютер жертвы, отключает SMB и тем самым блокирует дальнейшее распространение других вредоносных программ (включая WannaCry). Исследователи полагают, что распространение Adylkuzz могло ограничить распространение вируса-вымогателя.

Симптомы заражения

Несколько крупных компаний обратились к специалистам Proofpoint с подозрением на заражение своих компьютеров вирусом. Признаками заражения были:

  • потеря доступа к общим ресурсам Windows,
  • снижение производительности ПК и серверов.

Предположение, что компьютеры поражены вирусом WannaCry было отвергнуто из-за отсутствия требований заплатить за расшифровку файлов (файлы не были зашифрованы).

Исследователи Proofpoint полагают, что активная фаза кампании по распространению вируса Adylkuzz проходила ориентировочно с 24 апреля по 2 мая. И она может быть даже более масштабной и разрушительной, чем атака червя WannaCry.

Исследование Adylkuzz

В процессе эксперимента ребята подключили к интернету компьютер, уязвимый к атаке с помощью EternalBlue, и ждали, когда он подхватит WannaCry. Но к их большому удивлению, компьютер подцепил неожиданного и менее шумного гостя — вирус-майнер Adylkuzz.

Они ещё несколько раз повторяли эксперимент (подключали «чистый» компьютер к интернету), но результат был тот же: примерно через 20 минут компьютер оказывался заражённым вирусом Adylkuzz и подключался к его ботнету.

Вирус Adylkuzz

Атака с использованием EternalBlue / DoublePulsar с одного с нескольких хостов, после чего Adylkuzz загружается с другого хоста.

Атака ведётся с нескольких VPS, которые активно сканируют интернет и ищут потенциальные цели с открытым 445 TCP-портом.

Попав на компьютер жертвы, Adylkuzz сканирует компьютер на наличие своих копий, отключает их, блокирует SMB-коммуникации, определяет публичный IP-адрес заражённого компьютера, после чего загружает инструкции и криптомайнер.

Похоже, существует несколько серверов управления вирусом, откуда он загружает инструкции и необходимые модули.

Вирус Adylkuzz

Трафик с зараженного вирусом Adylkuzz компьютера

Adylkuzz используется для майнинга криптовалюты Monero. Эта валюта похожа на Бикойн, но является более анонимной. В ноябре 2016 года Monero входила в пятерку криптовалют с самой высокой рыночной капитализацией.

Как и другие криптовалюты, Монеро увеличивает свою рыночную капитализацию в процессе майнинга. Процесс этот является затратным с точки зрения вычислений, но результат стоит того.

Вирус Adylkuzz

Поведенческий анализ виртуальной машины, заражённой вирусом Adylkuzz

На рисунке выше видно, что после заражения компьютера вирус Adylkuzz сначала блокирует SMB, а затем начинает майнить Monero.

На рисунке ниже показан скрин одного из кошельков, связанных с атакой. «Hash rate» показывает скорость, с которой конкретный экземпляр ботнета добывает Moneros, «Total paid» показывает общую намайненных монет. По текущему курсу Monero ($27,29522505) получается $22022.36.

Вирус Adylkuzz

Один из нескольких кошельков Monero, связанных с вирусом Adylkuzz

Судя по ежедневным начислениям одного из кошельков Adylkuzz, рост выплат начался 24 апреля, когда предположительно и началось распространение червя, а 11 мая произошло внезапное прекращение выплат. Это может свидетельствовать о смене кошелька.

Специалисты Proofpoint полагают, что путём регулярной смены кошельков авторы вируса пытаются избежать слишком больших накоплений на каждом из них.

Вирус Adylkuzz

Ежедневные платежи, связанные с одним из кошельков Adylkuzz

Ниже приведена статистика и история платежей для второго кошелька Adylkuzz. На этот адрес было начислено чуть больше $7000.

Вирус Adylkuzz

Второй кошелёк Monero, связанный с вирусом Adylkuzz

Третий кошелёк «заработал» больше всех — более $14000.

Вирус Adylkuzz

Третий кошелёк Monero, связанный с доходами от добычи вирусом Adylkuzz

В настоящее время исследователи Proofpoint выявили более 20 хостов, с которых идёт сканирование и начинается атака, и более десятка активных серверов управления вирусом Adylkuzz. Они предполагают, что это лишь малая часть его ресурсов. Специалисты работают и надеются найти адреса других кошельков Monero и серверов вправления вирусом.

Заключение

Вирус Adylkuzz использует те же методы проникновения и заражения, что и вирус WannaCry. Распространение этих червей ставит под угрозу деятельность коммерческих и государственных предприятий, которые используют устаревшие версии Windows или не просто установили обновления для SMB.

Компьютеры и серверы компаний и частных лиц остаются уязвимыми для такого типа атак. Независимо от типа вредоносных программ (вымогатели, майнеры или любые другие) последствия заражения могут быть непредсказуемыми, разрушительными и дорогостоящими.

Проверьте, обновите и защитите свои компьютеры, пока не поздно.


Читайте также:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *