Pour gérer vos consentements :
Categories: MalwaresSécurité

WannaCry a été doublé par l’attaque du crypto-mineur Adylkuzz

Après la demande de rançon, le minage de monnaie électronique ? Les outils de piratage de la NSA extirpés par le groupe de hackers baptisé les Shadow Brokers n’ont pas seulement servi à lancer la médiatique attaque WannaCry, du nom de ce ransomworm qui s’est déployé dans 150 pays dans le monde et a touché plus de 200 000 entreprises depuis le 12 mai dernier. Ils permettent également d’infecter PC et serveurs pour mettre leur puissance de calcul au service de la crypto-monnaie Monero, un concurrent de Bitcoin et compagnie.

C’est du moins ce qu’avance un chercheur de Proofpoint. « Nous avons découvert une autre attaque à très grande échelle en utilisant à la fois EternalBlue et DoublePulsar pour installer le mineur crypto-dynamique Adylkuzz, indique l’expert qui se présente sous le pseudo de Kafeine sur le blog de la société de sécurité. Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry. » EternalBlue exploite une vulnérabilité de Microsoft Server Message Block (SMB) que l’éditeur a corrigé en mars dernier (MS17-010) mais que nombre d’organisations n’ont pas patchée. DoublePulsar est une backdoor installée par l’agence de sécurité américaine.

Adylkuzz concurrent de WannaCry

Les symptômes de l’attaque Adylkuzz se traduisent par la perte d’accès aux ressources partagées de Windows et la dégradation des performances de la machine, poste de travail ou serveur. Selon Kafeine, l’attaque est antérieure à celle de WannaCry (également référencées comme WCry ou encore WanaCryptor). Elle pourrait avoir démarré le 2 mai dernier, voire dès le 24 avril. Qui plus est, « cette attaque se poursuit et, bien que moins médiatique que WannaCry, elle est néanmoins assez grande et potentiellement assez perturbatrice », avance l’expert. Il s’appuie notamment sur des rapports d’infection de grandes entreprises émis le 15 mai qu’elles attribuent à WannaCry. « Cependant, en raison du manque de demande de rançon, nous pensons maintenant que ces problèmes pourraient être associés à l’activité Adylkuzz. »

D’ailleurs, Adylkuzz pourrait s’inscrire comme un sérieux concurrent du fameux ramsomware planétaire. Une fois en place, le malware chargé de mettre en œuvre le minage de la monnaie électronique ferme le réseau SMB pour prévenir de potentielles autres attaques, à commencer par WannaCry qui exploite le même canal de propagation. Du coup, Adylkuzz « a peut-être limité la propagation de l’infection WannaCry la semaine dernière », suggère Kafeine. Faible lot de consolation pour les organisations touchées. Et le pire est peut-être à venir. « Deux campagnes majeures utilisent maintenant les outils d’attaque [de la NSA] et la vulnérabilité [Microsoft], constate le chercheur. Nous nous attendons à ce que d’autres suivent et recommandons que les organisations et les individus mettent à jour leurs machines le plus tôt possible. » Une évidence qui va toujours mieux en le disant.


Lire également
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
WannaCry met en lumière le phénomène des anti-updates
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations

crédit image : werner22brigitte via Pixabay

Recent Posts

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

35 minutes ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

18 heures ago

Quelques chiffres pour contextualiser le premier livrable du comité de l’IA générative

Le comité de l'IA générative établi en septembre 2023 par le Gouvernement a formulé ses…

19 heures ago

Le DMA, cette entreprise de microgestion des Big Tech

L'UE multiplie les enquêtes et les procédures de non-conformité contre des entreprises soumises au DMA.

21 heures ago

Docaposte se pose en centrale cyber pour les PME

Forum InCyber 2024 - Docaposte fédère les offres d'une douzaine d'acteurs français en un Pack…

2 jours ago

Atos donne rendez-vous fin juillet pour envisager son avenir

Après deux reports successifs, Atos a présenté ses résultats annuels 2023. Et comme prévu, ils…

2 jours ago