Botnet minier Adylkuzz – Encore plus fort que WannaCry !

1
156

Tous ceux qui s’étonnaient des faibles gains générés par les cybercriminels à l’origine de WannaCry (estimé à un peu plus de 50 000 dollars), voila que l’on apprend la découverte d’un malware similaire exploitant les mêmes vulnérabilités pour générer massivement des Moneros. Les gains auraient déjà dépassés le million de dollars !

L’exploit EternalBlue (volé à la NSA par le groupe Shadow Brokers, ciblant la faille SMB Windows MS17-010 relative au port TCP 445) et le backdoor DoublePulsar ont tous deux été la base de la cyberattaque massive tant médiatisée du weekend. Mais voila, des chercheurs de Proofpoint (dont Kafeine) viennent de dévoiler une découverte étonnante : depuis fin avril, un malware du même type mais beaucoup plus discret (aucun blocage des machines infectée, juste une brusque dégradation des performances) s’est massivement propagé et à touché des centaines de milliers d’ordinateurs Windows dans le monde après un immense scan Internet des ports 445 potentiellement vulnérables.

« Nous avons exposé une machine de laboratoire vulnérable à l’attaque EternalBlue. Alors que nous nous attendions à voir apparaître le ransomware WannaCry, la machine de laboratoire a été infectée par un invité inattendu et beaucoup plus discret : le mineur cryptodynamique Adylkuzz. Nous avons répété l’opération à plusieurs reprises avec le même résultat : 20 minutes après avoir exposé une machine vulnérable à Internet, elle a été inscrite dans le botnet minier Adylkuzz ».

Le but de ce malware ? Installer en douce le mineur de crypto-monnaie Adylkuzz sur les ordinateurs du botnet et générer des revenus massifs non pas en bitcoins mais en Monero. Selon les experts interrogés par Reuters, cette monnaie a récemment été convoitée par des hackers liés à la Corée du Nord…

En effet, la société de cybersécurité Kaspersky Lab a déjà alerté sur le fait que les logiciels mineurs Monero restent rares et sont surtout créés par des pirates liés au groupe de cybercriminels Lazarus, spécialisé dans les gains financiers et soupçonné d’être contrôlé par le régime de Pyongyang Corée du Nord. Cela renforce les rumeurs de lien étroit entre WannaCry et l’attaque liée à Adylkuzz avec une quelconque implication nord-coréenne. Simple coïncidence ? Impossible de répondre à l’heure actuelle. Cependant, rien n’est sûr actuellement et l’enquête ne fait que débuter et il faudra beaucoup de temps pour tenter de déterminer les acteurs derrière ces cyberattaques.

Le processus d’infection est le suivant :

  • Exploitation de la faille zero-day SMB via EternalBlue
  • Infection des machines compromises par le backdoor DoublePulsar
  • Téléchargement et installation du mineur de crypto-monnaie Adylkuzz
  • Blocage définitif du port 445 afin d’éviter tout autre infection future.

Fait très important, ce malware prévoit dans son code source de bloquer le port lié à SMB (Microsoft Server Message Block) une fois installé sur une machine. Du coup, ironie du sort, la cyberattaque mondiale du weekend aurait été fortement atténuée par ce malware précédemment lâché dans la e-nature !

La monnaie virtuelle minée est très intéressante. Monero a en effet été récemment adoptée par la plateforme black marcket du DarkNet AlphaBay. La monnaie virtuelle Monero est beaucoup plus facile à générer que le Bitcoin et un exemple du cours actuel indique que 7,58 Moneros s’échangent contre environ 205 dollars. Les chercheurs en sécurité ont pu tracer de nombreux paiements de plusieurs dizaines de milliers de dollars vers des adresses de portefeuilles de crypto-monnaie liées aux serveurs de commande et de contrôle de Adylkuzz.

D’après Ryan Kalember, un dirigeant de cette société de cybersécurité américaine, les auteurs de l’attaque pourraient avoir gagné plus d’un million de dollars, bien plus que l’argent généré par l’attaque WannaCry.

Les commentaires sont fermés.