Proofpoint: Обнаружен еще один вредонос, использующий EternalBlue

Исследователи Proofpoint обнаружили еще одного вымогателя, использующего эксплойт EternalBlue. Несмотря на то, что WannaCry привлек всеобщее внимание из-за масштаба атаки, первым, кто использовал уязвимостью SMB-сервера на 445 TCP-порту, был майнер Adylkuzz.

Подобно WannaCry, атака этого зловреда использует для быстрого распространения эксплойт EternalBlue, а также NSA-бэкдор DoublePulsar, предназначенный для установки вредоносной информации на взломанных компьютерах.

Однако признаки заражения Adylkuzz не так очевидны, как в случае с WannaCry. Можно выделить потерю доступа к общим ресурсам Windows и ухудшение производительности ПК и сервера. Более того, вредоносная программа также отключает SMB-сети, чтобы предотвратить заражение жертвы другими вредоносными программами.

По словам эксперта Kafeine из ProofPoint, Adylkuzz специально исправляет уязвимость, используемую WannaCry для того, чтобы последний не заразил систему.

Исследователи утверждают, что атака Adylkuzz предшествовала атаке WannaCry, предположительно начавшись 2 мая, либо 24 апреля, по другим данным. Kafeine также отмечает, что распространение вредоноса продолжается и несет потенциальную опасность.

Атака запускается с нескольких виртуальных частных серверов. EternalBlue используется для компрометации, затем устанавливается бэкдор DoublePulsar для загрузки и запуска Adylkuzz с другого хоста. После запуска зловред останавливает любые найденные копии самого себя и блокирует связь SMB, чтобы избежать заражения другими вредоносными программами.