Découverte fortuite ce week-end pour Proofpoint.
En enquêtant sur la propagation fulgurante du ransomware WannaCry, les équipes de l’éditeur américain ont mis le doigt sur Adylkuzz.
Particularité de ce malware : il se fonde sur le même exploit que WannaCry. En l’occurrence, EternalBlue, partie intégrante du kit FuzzBunch utilisé par la NSA à des fins de cyberespionnage.
Ledit kit avait fuité le mois dernier, à l’initiative des Shadow Brokers, du nom d’un groupe de pirates qui a déjà éventé, depuis l’été dernier, de nombreux secrets de l’agence américaine.
Comme WannaCry, Adylkuzz s’appuie sur une vulnérabilité dans le protocole de partage de fichiers SMBv1 pour charger une backdoor : DoublePulsar, qui sert ensuite à exécuter d’autres logiciels malveillants sur le système détourné.
Mais ici, pas de rançongiciel qui chiffre les fichiers. L’attaque est beaucoup plus discrète, quand bien même elle coupe l’accès aux ressources Windows partagées.
Adylkuzz utilise en fait la puissance des machines qu’il infecte pour se livrer à du minage de crypto-monnaie. Non pas sur le réseau Bitcoin, mais sur Monero, devise virtuelle récemment adoptée, pour l’anonymat que garantit son protocole, sur le marché noir AlphaBay, où s’échangent armes, drogues et diverses données personnelles volées.
Alors que les premières traces de la campagne WannaCry remontent au 12 mai, Adylkuzz aurait, selon Proofpoint, commencé à sévir dès le 24 avril. Au taux de conversion actuel (1 Monero = environ 27 euros), les « dizaines de milliers » de machines infectées auraient permis de récolter pour plus de 50 000 euros.
L’attaque est lancée depuis des serveurs qui parcourent le Net à la recherche de cibles dont le port TCP 445 est ouvert et qui présentent la faille sus-évoquée*.
Une fois installé, Adylkuzz semble, d’après l’analyse de Proofpoint, systématiquement connecté à plusieurs serveurs de commande. Le fait qu’il empêche l’exploitation de SMB par d’autres programmes a peut-être contribué à limiter la propagation de WannaCry.
* Microsoft, qui avait corrigé la faille au mois de mars, a décidé, face à la menace WannaCry, d’étendre exceptionnellement la diffusion du correctif à des plates-formes normalement plus prises en charge : Windows Server 2003, Windows 8… et Windows XP, qui fait de la Chine une cible de choix de par sa résilience au sein du parc informatique national.
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…