Devasa bir kripto para madenciliği botnet'i, WannaCry kötü amaçlı yazılımında bulunan NSA istismarını kullanıyor, ancak bu, fidye yazılımının bazı enfeksiyonlarını yanlışlıkla durdurmuş olabilir.
Fidye yazılımı hakkında bilmeniz gereken her şey 60 saniyede.
Kaynak: ZDNet
WannaCry fidye yazılımıyla aynı Windows istismarını kullanan gizli kripto para madenciliği kötü amaçlı yazılımı, haftalar sonra makinelere saldırmaya başladı Cuma günkü salgından önce ancak yanlışlıkla bazı WannaCry enfeksiyonlarını önlemiş olabilir.
Farklı Cuma gününün gürültülü WannaCrypt saldırısı 200.000 makineyi etkileyen Adylkuzz adlı madencilik kötü amaçlı yazılımı muhtemelen şu ana kadar fark edilmedi. çünkü Bitcoin benzeri açık kaynaklı kripto para birimini çıkarmak için ana bilgisayarın işlem gücünü sessizce serbest bırakmayı hedefliyor, Monero.
fidye yazılımı saldırıları
- İkinci dalgaya hazır olun
- Hastaneler hala krizle mücadele ediyor
- Suçlama oyunu başlıyor
- Vahşi doğada yeni bir varyant keşfedildi
- Fidye yazılımı tehdidine yönelik yönetici kılavuzu
- Bu nedenle NSA istismarları stoklamamalı
- Microsoft, Windows XP için acil durum yamasını yayınladı
- Dünyanın dört bir yanındaki kuruluşlar parçaları topluyor
- Otomatik güncellemeleri devre dışı bırakmayı bırakın millet!
Proofpoint güvenlik araştırmacısı Kafeine'in belirttiği gibi, devam eden Adylkuzz kampanyası 24 Nisan gibi erken bir tarihte başladı. Microsoft'un Sunucu İleti Bloğu (SMB) ağındaki bir kusuru hedef alan, NSA tarafından oluşturulan aynı EternalBlue istismarı protokol.
Kafeine'e göre ilk istatistikler bu saldırının WannaCry'dan daha büyük ölçekte olabileceğini gösteriyor.
Microsoft olarak açıklıyorWannaCry iki mekanizma aracılığıyla yayılıyor. Solucan benzeri davranış, aynı ağdaki diğer yama uygulanmamış makinelere de bulaşıyor. Ancak kötü amaçlı yazılım aynı zamanda diğer savunmasız makineleri bulmak için interneti büyük ölçüde tarar.
Kafeine, ZDNet'e Adylkuzz'un bir solucan olmadığını, ancak internete açık olan savunmasız Windows makinelerini tarayarak yayıldığını söyledi.
Araştırmacı, hafta sonu kasıtlı olarak açığa çıkan bir bilgisayarla WannaCrypt'i incelerken Adylkuzz botnet'ini keşfetti.
Makineye WannaCry bulaşması bekleniyordu ancak "savunmasız bir makine açık ağa maruz kaldıktan sonraki 20 dakika içinde, makine bir Adylkuzz madencilik botnet'ine kaydedildi".
İlginçtir ki, Adylkuzz'un bulaştığı makineler WannaCry'den korunmuş olabilir. Kafeine, ZDNet'e, Adylkuzz operatörlerinin KOBİ iletişimlerini kapatarak daha sonraki enfeksiyonları önlemek için esasen "kapıyı arkalarından kapattığını" söyledi.
"Adylkuzz bir makinede başlatıldığında, Adylkuzz tüm çalıştırmalarımda olduğu gibi SMB iletişimini kapatmayı başarırsa, Sahibi Adylkuzz'un yaptığını geri alana kadar, makineye "solucan" yetenekleri aracılığıyla SMB aracılığıyla WannaCry bulaşamaz." Kafeine açıkladı.
WannaCry'dan daha az yıkıcı olsa da Adylkuzz botneti, operatörleri için aynı derecede kazançlı olabilir.
Kafeine, Adylkuzz saldırısıyla bağlantılı olan ve bugüne kadar 22.000 $, 7.000 $ ve 14.000 $ üreten üç Monero adresini ayrıntılarıyla anlatıyor. Adresler bugün Adylkuzz'un rapor verdiği ve para aldığı isimsiz kripto havuzu tarafından yasaklandı. Kafeine, adreslerin kapatılmasının ardından kripto havuzunun madencilerle olan 150.000 bağlantısını kaybettiğini söyledi.
Kafeine'in bir blog yazısında açıkladığı gibi, Adylkuzz saldırısı, potansiyel hedefler için TCP bağlantı noktası 445'teki interneti tarayan birkaç sanal özel sunucudan başlatılıyor.
"EternalBlue aracılığıyla başarılı bir şekilde yararlanıldığında makinelere DoublePulsar bulaşıyor. DoublePulsar arka kapısı daha sonra Adylkuzz'u başka bir ana bilgisayardan indirip çalıştırıyor." Kafeine dedi.
"Adylkuzz çalıştırıldıktan sonra, halihazırda çalışmakta olan potansiyel örnekleri durduracak ve daha fazla bulaşmayı önlemek için KOBİ iletişimini engelleyecektir. Daha sonra kurbanın genel IP adresini belirliyor ve madencilik talimatlarını, kripto madenciliğini ve temizleme araçlarını indiriyor."
Fidye yazılımı hakkında daha fazlasını okuyun
- WannaCrypt küresel fidye yazılımı saldırısına karşı kendinizi nasıl savunursunuz?
- Fidye yazılımı saldırısı: Bilgisayar korsanlarının avı başlıyor
- Fidye yazılımı saldırısı: Dünyanın dört bir yanındaki kuruluşlar WannaCry salgınının ardından parçaları topluyor