Service informatique a domicile, dépannage d'ordinateur pour le Val d'Oise, 95 Cergy et le Vexin

ordinateur

SECURITE-RANSOMWARE

Utilisation d'une faille SMB sur Windows

Récemment, le ransomware WannaCry a été massivement déployé grâce à des outils de piratage de la NSA qui ont fuité et exploitent une faille dans le service Windows Server Message Block (SMB).

Des chercheurs ont déclaré qu’un autre virus a utilisé la même défaillance beaucoup plus tôt et peut-être à plus grande échelle, et qui visait à miner une crypto-monnaie : « nous avons découvert une autre attaque à très grande échelle qui utilise à la fois EternalBlue et DoublePulsar pour installer le mineur cryptodynamique Adylkuzz. Les statistiques initiales suggèrent que cette attaque peut être plus importante que WannaCry : parce que cette attaque arrête les réseaux SMB pour empêcher d'autres infections par d'autres logiciels malveillants (y compris donc WannaCry) via cette même vulnérabilité, il a peut-être limité la propagation de l’infection WannaCry la semaine dernière », ont noté les chercheurs de Proofpoint.

Le minage est le procédé par lequel les transactions Bitcoin sont sécurisées. A cette fin les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau Bitcoin. Comme récompense pour leurs services, ils collectent les bitcoins nouvellement créés ainsi que les frais des transactions qu’ils confirment.
Le minage de bitcoins n’est plus du tout une activité rentable pour les particuliers. La popularité de Bitcoin a généré une concurrence énorme qui le rend inaccessible. Seuls certains sites industriels parviennent encore à tirer profit de cette activité. Avant de vous risquer dans cette aventure, nous vous invitons à lire le témoignage (déjà ancien) de Greg Ryder ou celui d’Ouriel Benaroch et à visiter l‘espace dédié au minage sur le forum Bitcointalk.
Voir https://bitcoin.fr/minage/


Les symptômes de cette attaque incluent la perte d'accès aux ressources partagées de Windows et la dégradation des performances du PC et du serveur. « Plusieurs grandes entreprises ont signalé des problèmes de réseau ce matin qui ont été initialement attribués à la campagne WannaCry. Cependant, en raison de l'absence d'avis de rançon, nous pensons désormais que ces problèmes pourraient être associés à l'activité d’Adylkuzz. Toutefois, il convient de noter que la campagne d'Adylkuzz est en grande partie antérieure à l'attaque de WannaCry et a commencé au moins le 2 mai, voire dès le 24 avril. Cette attaque est en cours et, bien que moins flashy que WannaCry, elle est néanmoins assez importante et potentiellement assez perturbatrice ».

Bien que plus supporté, un correctif pour XP est toutefois disponible sur : https://www.microsoft.com/fr-FR/download/confirmation.aspx?id=55245
C’est durant des recherches sur la campagne WannaCry que Kafeine, un chercheur de Proofpoint, est tombé sur cette autre attaque : « Nous avons exposé une machine de laboratoire vulnérable à l'attaque EternalBlue. Alors que nous nous attendions à voir WannaCry, la machine de laboratoire a effectivement été infectée par un invité inattendu et moins bruyant : le mineur cryptodynamique Adylkuzz. Nous avons répété l'opération à plusieurs reprises avec le même résultat : 20 minutes après avoir exposé une machine vulnérable au Web ouvert, elle a été inscrite dans un botnet minier Adylkuzz ».
Il semble que la crypto-monnaie choisie pour le minage soit MONERO. Voir : https://www.coingecko.com/fr/graphiques_cours/monero/usd
L'attaque est lancée à partir de plusieurs serveurs privés virtuels qui analysent massivement Internet à la recherche du port TCP 445 pour voir des cibles potentielles.
Lors de l'exploitation réussie via EternalBlue, les machines sont infectées par DoublePulsar. La porte dérobée DoublePulsar télécharge et exécute Adylkuzz depuis un autre hôte. Lorsqu’il est exécuté, Adylkuzz arrête d'abord toutes les instances potentielles de lui-même déjà en cours d'exécution et bloque la communication SMB pour éviter d'autres infections. Il détermine alors l'adresse IP publique de la victime et télécharge les instructions d'extraction, cryptominer et les outils de nettoyage.

VOIR https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

 

retour