WannaCry a un cousin plus lucratif qui exploite la crypto-monnaie pour ses maîtres

Siège de la NSA, l'agence soupçonnée d'être à l'origine de la création des exploits EternalBlue et DoublePulsar.





Les mêmes exploits qui ont permis à l'attaque du rançongiciel WannaCry de se propager si rapidement ont été utilisés pour mettre en place un système illicite d'extraction de crypto-monnaie. Et cela en valait vraiment la peine pour les pirates.

À la fin de la semaine dernière, le monde a été frappé par un rançongiciel qui a enfermé des ordinateurs dans des hôpitaux, des universités et des entreprises privées, exigeant du Bitcoin en échange de fichiers décryptés. Il a pu se propager si rapidement grâce à une faille Windows militarisée par l'agence de sécurité nationale américaine connue sous le nom d'EternalBlue, et une porte dérobée appelée DoublePulsar. Malheureusement, les outils ont été perdus et divulgués par inadvertance parce que la NSA a jugé sage de les stocker pour une utilisation future.

WannaCry a été stoppé par un travail rapide de la part de chercheurs dédiés à la sécurité. Mais lors des enquêtes sur l'attaque, la société de sécurité Proofpoint a trouvé qu'un autre logiciel malveillant, appelé Adylkuzz, utilise les mêmes exploits pour se propager sur les appareils Windows non sécurisés du monde.



Ce hack particulier est passé inaperçu depuis avril. En effet, contrairement à WannaCry, qui demande de l'attention pour obtenir de l'argent directement d'un utilisateur, Adylkuzz installe simplement un logiciel, puis emprunte les ressources d'un PC. Il commence ensuite à exploiter la crypto-monnaie peu connue appelée Monero à l'aide de votre ordinateur. Il le fait en arrière-plan, avec des utilisateurs potentiellement inconscients de sa présence, bien que peut-être un peu frustrés parce que leurs ordinateurs sont plus lents que d'habitude.

Il est logique qu'EternalBlue et DoublePulsar soient utilisés de cette manière, a déclaré Nolen Scaife, chercheur en sécurité à l'Université de Floride. La combinaison d'exploits permet aux attaquants de charger à peu près n'importe quel type de malware qu'ils souhaitent sur des machines compromises. Il est important de souligner qu'il pourrait s'agir de n'importe quoi - il pourrait s'agir d'enregistreurs de frappe, par exemple, a-t-il déclaré Examen de la technologie MIT . Mais ce que nous constatons, c'est que les attaquants l'utilisent là où cela rapporte le plus d'argent.

Fait intéressant, cependant, c'est l'attaque qui est jusqu'à présent passée inaperçue qui a obtenu le plus de butin. La tentative de WannaCry d'extorquer de l'argent en échange du déverrouillage de fichiers cryptés n'a fait que monter en puissance 80 000 $ au moment de la rédaction – probablement parce que Bitcoin, la monnaie que réclament les auteurs de WannaCry, est difficile à utiliser . Pendant ce temps, une estimation suggère que l'attaque d'Adylkuzz aurait déjà pu récolter jusqu'à 1 million de dollars .



Dans un certain sens, Adylkuzz est moins problématique que WannaCry. C'est certainement moins ouvertement destructeur. Mais cela soulève une cause d'inquiétude plus pressante : s'il fonctionne depuis avril, combien d'autres outils de la NSA ayant fait l'objet d'une fuite ont été utilisés pour mener des attaques qui sont jusqu'à présent passées inaperçues ? Restez à l'écoute - il peut y avoir plus à venir.

(Lire la suite: Point de preuve , Reuter , L'attaque du rançongiciel WannaCry aurait pu être bien pire, les experts en sécurité s'accordent à dire : la NSA a été piratée, le gouvernement devrait-il continuer à stocker les bogues logiciels ? )

cacher