WannaCry-achtig botnet delft cryptogeld en beschermt computers
Wie afgelopen weekend niet besmet werd door WannaCry heeft dat mogelijk te danken aan een ander stuk malware: Adylkuzz. Dat is een botnet dat door hackers wordt gebruikt om de cryptomunt Monera te delven. Die munt is gelijkaardig aan Bitcoin, maar nog anoniemer. Wie al besmet was met Adylkuzz is immuun voor WannaCry.
Dat is best opvallend: Adylkuzz en WannaCry maken gebruik van overlappende stukken code, waaronder de infectiemethode. Ze gebruiken beiden de EternalBlue-exploit die de NSA ontdekte. Via dat lek in Windows kan malware het Server Message Blocking-protocol (SMB) van Microsoft misbruiken.
Groter en beter
WannaCry maakte afgelopen weekend duizenden slachtoffers en trok zo de aandacht van menig securityexpert. Een expert in dienst van Proofpoint wou de ransomware van naderbij bestuderen en trachtte een onbeveiligde computer besmet te krijgen. Al na twintig minuten was het zover, maar in zijn netten vond hij niet WannaCry, wel Adylkuzz.
[related_article id=”215246″]Enig onderzoek later bleek dat Adylkuzz al sinds 24 april in omloop is en nog veel meer slachtoffers wist te maken dan zijn bekende tegenhanger. De reden dat de malware tot nu niet opviel, was omdat het de hackers niet te doen is om geld of gegevens van gebruikers, maar wel om hun processorkracht. De besmette computers werden namelijk ingezet in een botnet om Monero te delven.
Lucratief
Daarnaast sluit Adylkuzz de deur achter zich: wanneer het binnendringt op een computer, sluit het de kwetsbaarheden in Microsofts SMB, zodat andere malware die niet meer kan uitbuiten. Op die manier zorgen de hackers ervoor dat de computer zo lang mogelijk in zijn huidige staat blijft zodat die kan worden uitgebuit. WannaCry kreeg zo geen kans op deze toestellen.
Proofpoint wist ondertussen al enkele van de Monero-portefeuilles op te sporen en bracht aan het licht dat er momenteel al zo’n 43.000 dollar in Monero werd gedelft. Geen gigantisch bedrag, maar toch genoeg om in essentie niets te doen.