To było do przewidzenia. Słynne ransomware WannaCry (znane również jako WannaCrypt) odniosło spektakularny sukces. Co prawda luka używana przez ten wirus, została załatana przez Microsoft 2 miesiące temu, ale dużo osób nie instaluje aktualizacji lub używa niespieranych już wersji systemu Windows. Kwestią czasu było, zanim doczekamy się kolejnych robali korzystających z tej samej podatności. Tym właśnie jest Adylkuzz.
Adylkuzz tak samo, jak WannaCry używa wykradzionego z serwerów NSA exploitu o nazwie EternalBlue. Wykorzystuje on lukę w implementacji protokołu Samba w systemach operacyjnych firmy Microsoft, a dokładniej chodzi o Windows XP, Vista, 7, 9, 8.1 oraz 10. Czyli praktycznie wszystkie obecnie używane wersje, bo chyba nikt nie ma już Windowsa 98 albo 2000. Dla przypomnienia problem ten został rozwiązany w ramach biuletynu bezpieczeństwa MS17-010. Microsoft wydał nawet łatkę dla Windows XP oraz Vista, ale dopiero po pierwszej fali ataków WannaCry. Zaatakowane zostały nie tylko zwykłe komputery, ale również bankomaty, parkometry, rozkłady jazdy czy też billboardy w sklepach.
Adylkuzz robi z komputera ofiary maszynkę do generowania kryptowaluty Monero.
Jest to waluta podobna do Bitcoin, którą używa się do anonimowych transakcji w Internecie. Adylkuzz po zaatakowaniu komputera nie szyfruje plików. Zamiast tego instaluje program zwany cpuminer, który służy do generowania monet Monero. Celem przestępców jest to, żeby wirus pozostał w ukryciu jak najdłużej i nie zwracał na siebie uwagi. Dzięki temu przestępcy mają darmową moc obliczeniową, która generuje im dochód w postaci kryptowaluty.
Co ciekawe, cyberprzestępcy nie zastosowali w Adylkuzz mechanizmu samoczynnego rozprzestrzeniania znanego z WannaCry. Jest to trochę dziwne, bo właśnie dzięki temu WannaCry zaatakowało tak dużo komputerów. W tym przypadku atakujący sami skanują Internet w poszukiwaniu podatnych maszyn. Może w ten sposób chcieli zmniejszyć prawdopodobieństwo wykrycia swojego wirusa.
Źródło: Symantec