De WannaCry à Adylkuzz. Et du Bitcoin à Monero

par | Mai 19, 2017 | Expérience | 0 commentaires

De WannaCry à Adylkuzz, les attaques se suivent. Et si elles se ressemblent, le choix de la crypto-monnaie change. Passage du Bitcoin à Monero.

Aujourd’hui, il faut être capable de déployer des services commerciaux complexes rapidement. Pour ce faire, l’informatique a besoin de mécanismes de provisionnement automatisés et facilement répétables. ITOM va remplacer les processus manuels et l’isolation des systèmes en fournissant un service de provisionnement automatisé qui est répétable, sécurisé et compliantMonero et non pas Bitcoin. Un détail ? Pas sûr. A première vue, le même mécanisme que celui de WannaCryptor, à savoir EternalBlue, a été utilisé par d’autres pirates fin avril 2017, observe ESET. En revanche, si l’objectif de WannaCrypt est de chiffrer les fichiers pour obtenir une rançon, EternalBlue+CoinMiner.AFR / Adylkuzz installe sur les machines un logiciel de création de monnaie de type Bitcoin : Monero.

Cette campagne détectée comme Win32/CoinMiner.AFR et Win32/CoinMiner.AFU a commencé quelques jours après la mise en ligne des outils de la NSA. Dès le 25 avril 2017, ESET détecte via son module réseau les prémices de la propagation, soit trois jours avant la première tentative d’attaque utilisant Monero cryptocurrency. Le pic est enregistré le 10 mai 2017, soit quelques heures avant l’épidémie mondiale de WannaCrypt. La détection d’Adylkuzz sur les radars ESET est passée de quelques centaines à des milliers par jour. Au total, 118 pays sont touchés.

Par rapport à WannaCry, cette nouvelle menace est plus difficile à détecter, car elle ne donne aucun avertissement visuel et elle n’interfère pas avec les fichiers des utilisateurs. Même si cette nouvelle menace a un impact globalement inférieur à celui de l’attaque de ransomware précédente connue sous le nom de WannaCry, il s’agit d’une nouvelle confirmation que les cybercriminels construisent une nouvelle génération de logiciels malveillants basés sur l’exploit de SMB EternalBlue prétendument dérobé à la NSA.

ESET note encore que le logiciel de création de cryptomonnaie utilise tellement de ressources système que certaines machines frappées ne répondent plus… Il est intéressant de noter que les machines infectées par CoinMiner ont vu leur port 445 bloqué. En fermant la porte à de futures infections utilisant EternalBlue et donc le port 445, CoinMiner a pris de vitesse WannaCrypt et sans cette précaution, le nombre d’infections par WannaCrypt aurait pu être beaucoup plus important. D’ailleurs, l’attaque WannaCrypt semble avoir inspiré d’autres cybercriminels. ESET constate une augmentation significative du nombre d’emails malveillants envoyés par les opérateurs Nemucod, en diffusant un autre ransomware : Filecoder.FV.

Ainsi, les imitateurs de WannaCrypt émergent de part et d’autre. Ils tentent une performance supérieure à celle de WannaCrypt en utilisant le même GUI (interface graphique). Étrangement, leur chiffrement est absent.

 

 

Recevez les prochains articles par email, tous les mardi
Sommaire
De WannaCry à Adylkuzz. Et du Bitcoin à Monero
Titre
De WannaCry à Adylkuzz. Et du Bitcoin à Monero
Description
De WannaCry à Adylkuzz, les attaques se suivent. Et si elles se ressemblent, le choix de la crypto-monnaie change. Passage du Bitcoin à Monero.
Auteur
Editeur
Soluxions Magazine
Logo