La campagne du malware Adylkuzz pourrait éclipser celle de WannaCrypt

Par

le

En enquêtant sur les attaques du ransomware WannaCry, les chercheurs de la firme de cybersécurité Proofpoint sont tombés sur un autre malware appelé Adylkuzz.

Une nouvelle campagne d’un malware exploite la même vulnérabilité SMB « EternalBlue » révélée dans la vivulgation d’outils de piratage liés à l’Agence de sécurité nationale des États-Unis (NSA) et utilisée par le ransomware WannaCry/WannaCrypt, une attaque informatique sans précédent qui a fait plus de 200 000 victimes dans au moins 150 pays depuis vendredi dernier.

Contrairement à WannaCrypt, la nouvelle campagne implique l’installation d’un logiciel mineur cryptodynamique sur les systèmes infectés au lieu de crypter les fichiers d’un utilisateur, selon la société de sécurité Proofpoint.

« Bien que plus silencieuse et sans interface utilisateur, l’attaque d’Adylkuzz est plus rentable pour les cybercriminels », a déclaré Ryan Kalember, stratégie de cybersécurité de Proofpoint dans un communiqué. « Elle transforme les utilisateurs infectés en participants involontaires au financement de leurs assaillants ».

Monero a récemment été adopté par le marché AlphaBay darknet pour échanger des drogues, des cartes de crédit volées et des produits contrefaits, a déclaré M. Kalember.

« Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry : parce que cette attaque arrête les réseaux SMB pour empêcher d’autres infections par d’autres logiciels malveillants (y compris donc WannaCry) via cette même vulnérabilité, il a peut-être limité la propagation de l’infection WannaCry la semaine dernière », précisent les chercheurs de Proofpoint.

La société a déclaré que la campagne était déjà en cours le 2 mai, mais peut-être qu’elle a commencé dès le 24 avril, soit un plus d’une semaine après la divulgation par les Shadow Brokers des outils de piratage de la NSA. Les attaquants ont mis en place des serveurs qui scrutent Internet à la recherche d’ordinateurs vulnérables.

« Une fois infecté par l’utilisation de l’exploit EternalBlue, le mineur cryptodynamique Adylkuzz est installé et utilisé pour générer du cybercash pour les attaquants », a déclaré M. Kalember.

« Alors qu’un ordinateur portable individuel ne génère que quelques dollars par semaine, collectivement, le réseau d’ordinateurs compromis semble générer des paiements à cinq chiffres chaque jour. Contrairement au ransomware, aucune demande d’argent n’est faite aux victimes. Le malware est délibérément furtif; Les utilisateurs remarqueront seulement que leur machine Windows tourne lentement et qu’ils n’ont pas accès aux ressources partagées de Windows.

Bien que la faille a été patchée par Microsoft avec le correctif KB4012598, de nombreux utilisateurs n’ont pas appliqué ce correctif sur leurs machines.