Après la demande de rançon, le minage de monnaie électronique ? Les outils de piratage de la NSA extirpés par le groupe de hackers baptisé les Shadow Brokers n’ont pas seulement servi à lancer la médiatique attaque WannaCry, du nom de ce ransomworm qui s’est déployé dans 150 pays dans le monde et a touché plus de 200 000 entreprises depuis le 12 mai dernier. Ils permettent également d’infecter PC et serveurs pour mettre leur puissance de calcul au service de la crypto-monnaie Monero, un concurrent de Bitcoin et compagnie.
C’est du moins ce qu’avance un chercheur de Proofpoint. « Nous avons découvert une autre attaque à très grande échelle en utilisant à la fois EternalBlue et DoublePulsar pour installer le mineur crypto-dynamique Adylkuzz, indique l’expert qui se présente sous le pseudo de Kafeine sur le blog de la société de sécurité. Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry. » EternalBlue exploite une vulnérabilité de Microsoft Server Message Block (SMB) que l’éditeur a corrigé en mars dernier (MS17-010) mais que nombre d’organisations n’ont pas patchée. DoublePulsar est une backdoor installée par l’agence de sécurité américaine.
Les symptômes de l’attaque Adylkuzz se traduisent par la perte d’accès aux ressources partagées de Windows et la dégradation des performances de la machine, poste de travail ou serveur. Selon Kafeine, l’attaque est antérieure à celle de WannaCry (également référencées comme WCry ou encore WanaCryptor). Elle pourrait avoir démarré le 2 mai dernier, voire dès le 24 avril. Qui plus est, « cette attaque se poursuit et, bien que moins médiatique que WannaCry, elle est néanmoins assez grande et potentiellement assez perturbatrice », avance l’expert. Il s’appuie notamment sur des rapports d’infection de grandes entreprises émis le 15 mai qu’elles attribuent à WannaCry. « Cependant, en raison du manque de demande de rançon, nous pensons maintenant que ces problèmes pourraient être associés à l’activité Adylkuzz. »
D’ailleurs, Adylkuzz pourrait s’inscrire comme un sérieux concurrent du fameux ramsomware planétaire. Une fois en place, le malware chargé de mettre en œuvre le minage de la monnaie électronique ferme le réseau SMB pour prévenir de potentielles autres attaques, à commencer par WannaCry qui exploite le même canal de propagation. Du coup, Adylkuzz « a peut-être limité la propagation de l’infection WannaCry la semaine dernière », suggère Kafeine. Faible lot de consolation pour les organisations touchées. Et le pire est peut-être à venir. « Deux campagnes majeures utilisent maintenant les outils d’attaque [de la NSA] et la vulnérabilité [Microsoft], constate le chercheur. Nous nous attendons à ce que d’autres suivent et recommandons que les organisations et les individus mettent à jour leurs machines le plus tôt possible. » Une évidence qui va toujours mieux en le disant.
Lire également
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
WannaCry met en lumière le phénomène des anti-updates
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.