Adylkuzz, the cryptocurrency mining botnet that travels in the shadow of WannaCry

Adylkuzz, il minatore di criptovaluta dietro WannaCry

Con il violento attacco del 12 maggio, il ransomware WannaCry (anche conosciuto come WannaCrypt, WannaCrypt0r, o WCry) ha fatto parecchio scalpore. Abbiamo tutti gli elementi di una storia avvincente: vulnerabilità accumulate da un’agenzia di spionaggio degli USA, diffusione da parte di un gruppo di misteriosi hacker, ampio impatto su individui e ospedali di tutto il mondo e addirittura voci di corridoio sul fatto che l’attacco potrebbe essere il frutto del lavoro di uno stato canaglia.


Articolo correlato

https://blog.avira.com/it/ransomware-wannacrypt0r/


Ma c’è dell’altro. I ricercatori hanno scoperto un malware che si diffonde silenziosamente, sfrutta le stesse vulnerabilità di WannaCry e trasforma i PC compromessi in un minatore di criptovaluta. E mentre il ransomware attira l’attenzione crittografando i file, congelando gli utenti e inviando loro una minacciosa richiesta di riscatto, questo malware di nome Adylkuzz resta in incognito e ruba silenziosamente le capacità di elaborazione dei computer e delle reti infette per generare criptovaluta e poi inviare i risultati del suo lavoro a un server misterioso.

«Perché questo malware riesce a passare inosservato? Perché non vi è alcuna richiesta di riscatto sul monitor e nessuna crittografia del file. Il malware si limita a rubare il tempo del processore per calcolare Bitcoin in background», ha spiegato Alexander Vukcevic, responsabile di Avira Virus Lab. I tipici sintomi di un’infezione sono la perdita di accesso ai servizi condivisi di Windows e un peggioramento delle prestazioni del PC e del server.

Stessa strategia, più anonimità

Adylkuzz sfrutta le stesse vulnerabilità della NSA colpite da WannaCry.  Mira a colpire le vulnerabilità dovute alla mancata installazione delle patch e usa funzionalità di un worm per diffondersi attraverso le reti di computer, tutto senza alcun coinvolgimento dell’utente e senza ricorrere a tattiche di ingegneria sociale.  Secondo i ricercatori, Adylkuzz è stato diffuso già diverse settimane prima di WannaCry. Ma grazie alla strategia di mining silenzioso della criptovaluta Monero in background, questo malware è rimasto lontano dall’attenzione pubblica e della comunità di sicurezza.

Soldi facili, Monero gratis

Adylkuzz potrebbe fruttare molto di più del ransomware WannaCry che, oltre a infettare diverse centinaia di migliaia di dispositivi, ha procurato solo un guadagno stimato di 62 000 €.

La criptovaluta Monero, con un tasso di cambio di 25 euro, è creata per essere usata in transazioni non sicure e non tracciabili. Sembra essere meno conosciuta di Bitcoin, ma a quanto pare la sua diffusione attraverso una botnet di computer infettati è più semplice. I ricercatori hanno individuato oltre 20 host che cercavano nuove vittime da attaccare e una decina di server C&C mirati a gestire l’azione e a ricevere la liquidità appena coniata. E pensano che ci sia ancora dell’altro. La cosa abbastanza irragionevole è che, bloccando ulteriori attacchi sul vulnerabile protocollo Microsoft Server Message Block (SMB), Adylkuzz potrebbe aver contribuito a rallentare la rapida diffusione di WannaCry.

La sicurezza è uno stato d’animo

In molti casi sia la diffusione di Adylkuzz che di WannCry è stata resa possibile dalla scarsa igiene informatica dei computer.  Proprio come il dentista raccomanda di usare frequentemente il filo interdentale per prevenire la formazione di placche dentali, allo stesso modo è fondamentale che gli utenti tengano aggiornati i propri dispositivi con le ultime patch. La diffusione di WannaCry (e quella presunta di Adylkuzz) dimostra che in molti utilizzano software obsoleti o pirata e non equipaggiano i dispositivi con le patch più recenti.

«I pirati informatici sono davvero liberi di decidere come sfruttare la grande vulnerabilità di cui sono armati, se attraverso un minatore di criptovaluta come Adylkuzz, un ransomware più tradizionale oppure preparando la prossima grande minaccia», ha affermato Alexander Vukcevic. «Noi blocchiamo ogni minaccia grazie alla tecnologia di rilevamento del nostro Avira Protection Cloud, ma è fondamentale che gli utenti installino le patch sui loro dispositivi e il modo più semplice per farlo è utilizzare un programma di aggiornamento software».

Il nostro Software Updater Pro ti aiuta ad avere sempre installati gli ultimi aggiornamenti e le patch nel modo più semplice possibile: la modalità automatica e quella con un solo clic si fanno carico di tutto il lavoro, permettendoti di vivere la tua esperienza digitale senza doverti preoccupare degli aggiornamenti.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.