Découverte fortuite ce week-end pour Proofpoint.
En enquêtant sur la propagation fulgurante du ransomware WannaCry, les équipes de l’éditeur américain ont mis le doigt sur Adylkuzz.
Particularité de ce malware : il se fonde sur le même exploit que WannaCry. En l’occurrence, EternalBlue, partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage.
Ledit kit avait fuité le mois dernier, à l’initiative des Shadow Brokers, du nom d’un groupe de pirates qui a déjà éventé, depuis l’été dernier, de nombreux secrets de l’agence américaine.
Comme WannaCry, Adylkuzz s’appuie sur une vulnérabilité dans le protocole de partage de fichiers SMBv1 pour charger une backdoor : DoublePulsar, qui sert ensuite à exécuter d’autres logiciels malveillants sur le système détourné.
Mais ici, pas de rançongiciel qui chiffre les fichiers. L’attaque est beaucoup plus discrète, quand bien même elle coupe l’accès aux ressources Windows partagées.
Adylkuzz utilise en fait la puissance des machines qu’il infecte pour se livrer à du minage de crypto-monnaie. Non pas sur le réseau Bitcoin, mais sur Monero, devise virtuelle récemment adoptée, pour l’anonymat que garantit son protocole, sur le marché noir AlphaBay, où s’échangent armes, drogues et diverses données personnelles volées.
Alors que les premières traces de la campagne WannaCry remontent au 12 mai, Adylkuzz aurait, selon Proofpoint, commencé à sévir dès le 24 avril. Au taux de conversion actuel (1 Monero = environ 27 euros), les « dizaines de milliers » de machines infectées auraient permis de récolter pour plus de 50 000 euros.
L’attaque est lancée depuis des serveurs qui parcourent le Net à la recherche de cibles dont le port TCP 445 est ouvert et qui présentent la faille sus-évoquée*.
Une fois installé, Adylkuzz semble, d’après l’analyse de Proofpoint, systématiquement connecté à plusieurs serveurs de commande. Le fait qu’il empêche l’exploitation de SMB par d’autres programmes a peut-être contribué à limiter la propagation de WannaCry.
* Microsoft, qui avait corrigé la faille au mois de mars, a décidé, face à la menace WannaCry, d’étendre exceptionnellement la diffusion du correctif à des plates-formes normalement plus prises en charge : Windows Server 2003, Windows 8… et Windows XP, qui fait de la Chine une cible de choix de par sa résilience au sein du parc informatique national.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…