Adylkuzz : un malware crypto-mineur dans l’ombre de WannaCry

Sécurité
adylkuzz

En enquêtant sur WannaCry, Proofpoint a mis le doigt sur Adylkuzz, un malware qui exploite la même faille, mais pour le minage de crypto-monnaie.

Découverte fortuite ce week-end pour Proofpoint.

En enquêtant sur la propagation fulgurante du ransomware WannaCry,  les équipes de l’éditeur américain ont mis le doigt sur Adylkuzz.

Particularité de ce malware : il se fonde sur le même exploit que WannaCry. En l’occurrence, EternalBlue, partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage.

Ledit kit avait fuité le mois dernier, à l’initiative des Shadow Brokers, du nom d’un groupe de pirates qui a déjà éventé, depuis l’été dernier, de nombreux secrets de l’agence américaine.

Un parfum de darknet

Comme WannaCry, Adylkuzz s’appuie sur une vulnérabilité dans le protocole de partage de fichiers SMBv1 pour charger une backdoor : DoublePulsar, qui sert ensuite à exécuter d’autres logiciels malveillants sur le système détourné.

Mais ici, pas de rançongiciel qui chiffre les fichiers. L’attaque est beaucoup plus discrète, quand bien même elle coupe l’accès aux ressources Windows partagées.

Adylkuzz utilise en fait la puissance des machines qu’il infecte pour se livrer à du minage de crypto-monnaie. Non pas sur le réseau Bitcoin, mais sur Monero, devise virtuelle récemment adoptée, pour l’anonymat que garantit son protocole, sur le marché noir AlphaBay, où s’échangent armes, drogues et diverses données personnelles volées.

Anti-WannaCry ?

Alors que les premières traces de la campagne WannaCry remontent au 12 mai, Adylkuzz aurait, selon Proofpoint, commencé à sévir dès le 24 avril. Au taux de conversion actuel (1 Monero = environ 27 euros), les « dizaines de milliers » de machines infectées auraient permis de récolter pour plus de 50 000 euros.

L’attaque est lancée depuis des serveurs qui parcourent le Net à la recherche de cibles dont le port TCP 445 est ouvert et qui présentent la faille sus-évoquée*.

Une fois installé, Adylkuzz semble, d’après l’analyse de Proofpoint, systématiquement connecté à plusieurs serveurs de commande. Le fait qu’il empêche l’exploitation de SMB par d’autres programmes a peut-être contribué à limiter la propagation de WannaCry.

* Microsoft, qui avait corrigé la faille au mois de mars, a décidé, face à la menace WannaCry, d’étendre exceptionnellement la diffusion du correctif à des plates-formes normalement plus prises en charge : Windows Server 2003, Windows 8… et Windows XP, qui fait de la Chine une cible de choix de par sa résilience au sein du parc informatique national.


Lire la biographie de l´auteur  Masquer la biographie de l´auteur