Adylkuzz, the cryptocurrency mining botnet that travels in the shadow of WannaCry

Adylkuzz, le botnet qui crée de la crypto-monnaie et vogue dans l’ombre de WannaCry

Suite à l’attaque du 12 mai, le rançongiciel WannaCry (aussi appelé WannaCrypt, WannaCrypt0r ou WCry) a fait couler beaucoup d’encre. Et pour cause, elle a toutes les caractéristiques d’une bonne histoire : des vulnérabilités connues d’une agence de renseignement américaine, le lancement par un mystérieux groupe de pirates, un large impact sur des particuliers et des hôpitaux dans le monde entier et même des rumeurs selon lesquelles l’attaque tout entière serait le fruit d’une nation sans scrupules.


Article associé

https://blog.avira.com/fr/wannacrypt0r-rancongiciel/


Mais ce n’est pas tout. Des chercheurs ont détecté un logiciel malveillant plus discret qui exploite les mêmes vulnérabilités pour générer de la crypto-monnaie sur les ordinateurs infectés. Alors que le rançongiciel sort de l’ombre en chiffrant les fichiers et en bloquant l’accès des utilisateurs à leur ordinateur, puis en leur envoyant une demande de rançon, le logiciel malveillant nommé Adylkuzz reste discret tout en monopolisant les capacités de calcul des machines et réseaux infectés. Il crée alors de la crypto-monnaie et envoie ensuite les résultats vers un serveur impossible à localiser.

« Pourquoi ne parle-t-on pas de ce logiciel malveillant ? Tout simplement parce qu’il n’y a pas de demande de rançon menaçante affichée à l’écran ni de cryptage de fichiers. Ce logiciel malveillant monopolise les ressources de calcul de votre ordinateur pour calculer des bitcoins en arrière-plan » explique Alexander Vukcevic, directeur du laboratoire de recherche antivirus Avira. Cette infection se manifeste généralement par la perte d’un accès aux services partagés de Windows et une baisse de la performance de votre PC et serveur.

Même rengaine

Le lancement d’Adylkuzz utilise les mêmes vulnérabilités divulguées par la NSA, que celles utilisées par WannaCry.  Il cible les vulnérabilités non corrigées et utilise une fonctionnalité similaire à un vers pour se répandre via les réseaux, tout cela sans action de la part de l’utilisateur ni de piratage psychologique.  Selon les chercheurs, Adylkuzz existait déjà quelques semaines avant WannaCry. Mais, c’est en restant en arrière-plan et en créant de la crypto-monnaie Monero discrètement qu’il a pu rester inconnu du public et de la communauté d’experts en sécurité.

De l’argent Monero, gratuitement

Adylkuzz est peut-être bien plus rentable que le rançongiciel WannaCry qui, malgré la contamination de plusieurs centaines de milliers d’appareils, n’aurait réussi à récolter que 70 000 dollars.

La crypto-monnaie Monero, dont le taux de change est de 25 euros, est conçue pour les transactions intraçables et non sécurisées. Elle est certes moins connue que le Bitcoin, mais elle est plus facile à créer via un botnet d’ordinateurs infectés. Les chercheurs ont détecté plus de 20 hôtes qui recherchaient de nouvelles victimes à cibler et une dizaine de serveurs C&C (control & command) responsables de la gestion et de la réception des fonds nouvellement créés. Ils en sont convaincus, il y en a bien plus. Ironiquement, en bloquant des attaques supplémentaires sur le protocole vulnérable Server Message Block de Microsoft (SMB), Adylkuzz a peut-être limité la rapide diffusion de WannaCry.

La sécurité, un état d’esprit

Dans la plupart des cas, Adylkuzz et WannaCry se sont propagés car les ordinateurs personnels étaient peu protégés.  Tout comme un dentiste conseille d’utiliser du fil dentaire régulièrement pour éviter l’accumulation de plaque dentaire, les utilisateurs doivent maintenir tous leurs appareils à jour et installer les derniers correctifs. La diffusion de WannaCry, et celle supposée d’Adylkuzz, reflète l’utilisation de logiciels obsolètes ou piratés et des appareils aux vulnérabilités non corrigées.

« Lorsqu’une vulnérabilité majeure est connue des cybercriminels, ils n’ont plus qu’à décider de la manière dont ils vont l’exploiter : en explorant les données comme Adylkuzz le fait avec de la crypto-monnaie, en utilisant un rançongiciel plus traditionnel ou en inventant la prochaine menace » poursuit M. Vukcevic. « Bien qu’Adylkuzz soit bloqué par la détection Avira Protection Cloud, les utilisateurs doivent s’assurer d’installer tous les correctifs. Le plus simple est d’utiliser un programme de mise à jour de logiciels. »

Software Updater Pro vous permet de maintenir votre ordinateur à jour et d’installer tous les correctifs le plus simplement possible : les modes automatique et en un clic se chargent de tout pour que vous puissiez surfer en toute tranquillité.

Cet article est également disponible en: AnglaisAllemandItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.