Faille Windows : Après WannaCry voici Adylkuzz, spécialiste du cryptomining

Sécurité : C’est en cherchant à comprendre le fonctionnement du rançongiciel WannaCry que les chercheurs de Proofpoint sont tombés sur un autre ver, très discret, qui utilise le même exploit. Adylkuzz utilise votre ordinateur pour créer de la monnaie virtuelle. A vos dépends, mais pas à votre profit.

Quand les experts en sécurité informatique inspectent les failles utilisées par le rançongiciel WannaCry, ils vont véritablement de surprises en surprises ! Les équipes de Proofpoint viennent ainsi de mettre à jour un nouveau virus informatique, Adylkuzz, qui utilise les mêmes ressorts que le désormais fameux WannaCryptOr. Son but ? Infecter une machine et utiliser sa puissance de calcul pour créer de la monnaie virtuelle, au bénéfice des pirates.

Faille Windows : Après WannaCry voici Adylkuzz, spécialiste du cryptomining - 2017 - 2018 

Kafeine (le surnom d’un chercheur de Proofpoint) a installé dans son laboratoire une machine vulnérable à l’attaque EternalBlue afin de mieux comprendre le fonctionnement de WannaCry. “La machine de laboratoire a été infectée par un invité inattendu et moins bruyant : le mineur cryptodynamique Adylkuzz. Nous avons répété l’opération à plusieurs reprises avec le même résultat : 20 minutes après avoir exposé une machine vulnérable au Web ouvert, elle a été inscrite dans un botnet minier Adylkuzz” affirme le chercheur.

“Une fois infectée, votre machine sera plus lente que d’habitude” note Nicolas Godier, expert cybersécurité chez Proofoint, à propos du fonctionnement d’Adylkuzz. Ryan Kalember, un dirigeant de Proofpoint, affirme que les pirates auraient pu gagner plus d’un million de dollars avec cette opération mentionne Reuters.

Monero, nouvel Eldorado

Qui dit monnaie virtuelle dit Bitcoin. Mais pas seulement. La monnaie créé par Adylkuzz, plus récente que le Bitcoin, se nomme le Monero. Cet intérêt pour le Monera laisse dire aux chercheurs que le lien entre l’exploitation de cette faille Windows et la Corée du Nord se renforce car d’autres opérations de hacking en provenance de ce pays contre le Monero ont déjà été détectées par le passé.

Début avril la société de cybersécurité Kaspersky Lab avait mentionné qu’une partie des hackers du groupe Lazarus, soupçonné dans l’affaire WannaCry, s’était spécialisé dans la création de monnaie Monero. “Monero est une alternative populaire à Bitcoin récemment adoptée par le marché AlphaBay darknet pour échanger des drogues, des cartes de crédit volées et des produits contrefaits” mentionne Proofpoint.

Si ces nombreux indices mènent à la Corée du Nord, d’autres experts estiment que ce sont les autorités russes qui sont derrière les attaques. De fait, aucune preuve ne permet à l’heure actuelle de trancher cette question.

Adylkuzz pourrait avoir limité l’impact de WannaCry

La faille identifiée sous le matricule CVE-2017-0145 touche le service Windows Server Message Block (SMB). Cette faille est exploitée par les attaquants avec l’outil EternalBlue, dérobé à la NSA par le groupe Shadow Brokers. La faille a été patchée par Microsoft avec le correctif KB4012598. Reste que de nombreux utilisateurs s’ont pas appliqué ce correctif sur leurs machines. D’où les nombreux piratages. Proofpoint affirme que Adylkuzz, qui utilise discrètement les machines piratées à l’inverse de WannaCryt, a commencé sa mission quelques semaines avant que le ransomware ne se mette à l’oeuvre, soit fin avril.

Surtout, cette attaque serait de bien plus grande ampleur que WannaCry. Mais sa discrétion et son mode de fonctionnement empêche de tenir une comptabilité exacte : “Adylkuzz a le bon gout de fermer les portes. Il désactive le SMB v1 pour ne pas qu’un autre malware de type WannaCry puisse y fonctionner” explique Nicolas Godier. Ainsi, Adylkuzz aurait pu limiter la propagation de l’infection WannaCry la semaine dernière. “Il est probable que les hackers se soient dit : ‘je vais gagner de l’argent avec mon virus mais je n’ai pas envie que quelqu’un d’autre le fasse'” note l’expert en sécurité.

Une technique déjà utilisée par le passé. “En 2001 le ver Code Red exploitait les vulnérabilité du serveur web de Microsoft (ndlr. IIS). Dans la foulée, des hackers avaient eu la bonne idée de coder un ver, Code Blue, qui faisant la même chose que Code Red, mais installait des patches de vulnérabilité” explique Nicolas Godier.

“Des dizaines de milliers d’ordinateurs dans le monde entier sont affectés dans le cadre de cette attaque qui se développe rapidement” assure Proofpoint. Seule solution pour les entreprises : patcher en urgence. Ce qui n’est pas simple. “Dans les grandes entreprises, c’est compliquée d’être systématiquement à jour” note Nicolas Godier. “Surtout que de nombreuses entreprises ont encore des machines avec Windows XP, pour des besoins spécifiques.”

  • WannaCry : les Shadow Brokers parlent à nouveau, et c’est confusWannaCry : la seconde vague arrive, alors soyez prêts
    [MAJ]
  • WannaCry : la seconde vague arrive, alors soyez prêts [MAJ]
  • WannaCry : reflux des attaques, il est trop tôt pour accuser qui que ce soit [MAJ]
  • WannaCry : la Corée du Nord est mise en cause
  • WannaCry : “essentiel de se mette en ordre de bataille, collectivement” pour l’Anssi

Faille Windows : Après WannaCry voici Adylkuzz, spécialiste du cryptomining

Source : L’article Faille Windows : Après WannaCry voici Adylkuzz, spécialiste du cryptomining >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

Faille Windows : Après WannaCry voici Adylkuzz, spécialiste du cryptomining - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-09-18T18:29:30+00:00

Laisser un commentaire