Nuove prove hanno rivelato che circa 3 settimane prima dell'attacco di massa col ransomware WannaCry, uno o più gruppi di cybercriminali hanno usato lo stesso tool exploit dell'NSA (ETERNALBLUE) usato per diffondere WannaCry, allo scopo di infettare computer e server con un malware pensato per il mining dei Bitcoin. Questi malware rallentano i PC e i Server e creano non pochi problemi ad esempio nelle condivisioni di rete: in fondo all'articolo, come risolvere il problema. L'unico motivo per cui nessuno ha notato questo attacco è che questo particolare malware, chiamato Adylkuzz, non distrugge i dati degli utenti ed è stato programmato per chiudere la porta SMB.
Solitamente questa accortezza è pensata al fine di evitare che la stessa macchina possa essere infettata anche da altri malware, perdendo così importanti risorse per il mining: in questo caso ha avuto l'effetto secondario di proteggere i computer dall'infezione da parte del virulento ransowmare WannaCry.
Scansioni massime dell'SMB hanno preceduto l'attacco
Come detto in precedenti articoli, il ransomware WannaCry si è diffuso sfruttando EternalBlue, un exploit pensato per la porta SMB. Le scansioni, evidentemente in cerca di porte Samba TCP 445 accessibili, sono iniziate il 24 di Aprile e sono proseguite per circa 3 settimane. Seguendo la catena di scansioni, alcuni ricercatori sono risaliti alla serie di server C&C usati per
- lanciare le scansioni in cerca di macchine vulnerabili
- per installare l'exploit Eternablue
- per installare la backdoor DoublePulsar
- infine, per distribuire il payload di Adylkuzz.
Il fatto che moltissimi computer siano stati infettati da Adylkuzz, ha messo al sicuro da WannaCry quelle macchine, dato che ne ha chiuso le porte SMB. Kaffeine, il ricercatore che ha scoperto tutto questo, ha affermato che molti degli attacchi attribuiti a WannaCry in realtà sarebbero da attribuire ad Adylkuzz.
"I sintomi di questo attacco includono la perdita dell'accesso alle risorse condivise di Windows e una progressiva degradazione delle performance del PC e del server. Moltissime grandi aziende hanno riportato problematiche di rete la mattina dell'attacco, attribuite inizialmente a WannaCry. Tuttavia alcune di queste vittime non hanno ricevuto nessuna richiesta di riscatto: crediamo quindi che questi problemi possano essere attribuiti a Adylkuzz." ha proseguito Kaffeine.
Qualche stima parla di circa 43.000 dollari che Adylkuzz avrebbe fruttato ai suoi programmatori.
La soluzione a questo problema è la stessa che per WannaCry: installate gli aggiorrnamenti di Windows rintracciabili qui o qui, nel caso abbiate in uso un sistema operativo obsoleto come Windows XP, Windows 8 o Windows Server 2003.
Nessun commento:
Posta un commento