Après la demande de rançon, le minage de monnaie électronique ? Les outils de piratage de la NSA extirpés par le groupe de hackers baptisé les Shadow Brokers n’ont pas seulement servi à lancer la médiatique attaque WannaCry, du nom de ce ransomworm qui s’est déployé dans 150 pays dans le monde et a touché plus de 200 000 entreprises depuis le 12 mai dernier. Ils permettent également d’infecter PC et serveurs pour mettre leur puissance de calcul au service de la crypto-monnaie Monero, un concurrent de Bitcoin et compagnie.
C’est du moins ce qu’avance un chercheur de Proofpoint. « Nous avons découvert une autre attaque à très grande échelle en utilisant à la fois EternalBlue et DoublePulsar pour installer le mineur crypto-dynamique Adylkuzz, indique l’expert qui se présente sous le pseudo de Kafeine sur le blog de la société de sécurité. Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry. » EternalBlue exploite une vulnérabilité de Microsoft Server Message Block (SMB) que l’éditeur a corrigé en mars dernier (MS17-010) mais que nombre d’organisations n’ont pas patchée. DoublePulsar est une backdoor installée par l’agence de sécurité américaine.
Les symptômes de l’attaque Adylkuzz se traduisent par la perte d’accès aux ressources partagées de Windows et la dégradation des performances de la machine, poste de travail ou serveur. Selon Kafeine, l’attaque est antérieure à celle de WannaCry (également référencées comme WCry ou encore WanaCryptor). Elle pourrait avoir démarré le 2 mai dernier, voire dès le 24 avril. Qui plus est, « cette attaque se poursuit et, bien que moins médiatique que WannaCry, elle est néanmoins assez grande et potentiellement assez perturbatrice », avance l’expert. Il s’appuie notamment sur des rapports d’infection de grandes entreprises émis le 15 mai qu’elles attribuent à WannaCry. « Cependant, en raison du manque de demande de rançon, nous pensons maintenant que ces problèmes pourraient être associés à l’activité Adylkuzz. »
D’ailleurs, Adylkuzz pourrait s’inscrire comme un sérieux concurrent du fameux ramsomware planétaire. Une fois en place, le malware chargé de mettre en œuvre le minage de la monnaie électronique ferme le réseau SMB pour prévenir de potentielles autres attaques, à commencer par WannaCry qui exploite le même canal de propagation. Du coup, Adylkuzz « a peut-être limité la propagation de l’infection WannaCry la semaine dernière », suggère Kafeine. Faible lot de consolation pour les organisations touchées. Et le pire est peut-être à venir. « Deux campagnes majeures utilisent maintenant les outils d’attaque [de la NSA] et la vulnérabilité [Microsoft], constate le chercheur. Nous nous attendons à ce que d’autres suivent et recommandons que les organisations et les individus mettent à jour leurs machines le plus tôt possible. » Une évidence qui va toujours mieux en le disant.
Lire également
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
WannaCry met en lumière le phénomène des anti-updates
Après WannaCry : les Shadow Brokers promettent de nouvelles révélations
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…