După atacul WannaCry care a avut loc vineri, compania de securitate cibernetică Proofpoint susține că a descoperit un nou atac cibernetic, numit Adylkuzz, care ar folosi un instrument bazat pe Eternal Blue de la NSA și care exploatează vulnerabilități din sistemul de operare Windows, la fel ca și atacul WannaCry de weekendul trecut.
„Nu cunoaștem amploarea prejudiciului, dar sute de mii de calculatoare au fost infectate, ceea ce dovedește că atacul este mult mai vast decât Wannacry”, potrivit lui Robert Holmes, vicepreședinte al liniei de producție Proofpoint.
Atacul Adylkuzz a fost asimilat WannaCry, pentru că s-a suprapus cu acesta, însă experții de la Proofpoint au descoperit că multe calculatoare infectate erau de fapt înrolate în operațiunea de „mining” de monedă virtuală pentru care este folosit acest atac, Adylkuzz.
Folosind instrumentul de exploatare EternalBlue, dezvoltat de NSA și scurs în public în luna martie de o grupare de hackeri, Adylkuzz instalează un virus de tip „backdoor” numit DoublePulsar, care permite apoi preluarea controlului de către hackeri și „înrolarea” în operațiunea Adylkuzz.
Software-ul dăunător creează astfel, fără să fie detectat, unități monetare virtuale numite Monero, un derivat din Bitcoin. Aceste monede virtuale se creează printr-un proces automatizat numit „mining”, prin care un computer pus să facă așa ceva creează într-un timp dat o astfel de monedă. O rețea de calculatoare „zombie” este utilă astfel pentru a crea efectiv monedă virtuală, care să poată apoi fi folosită în diverse tranzacții. Pentru utilizator „simptomele atacului sunt încetinirea performanțelor calculatorului”, a precizat Proofpoint într-un articol online.
Reacția șefului Centrului Național Cyberint
„Avem informații și despre acest atac, dar până la confirmare și la o analiză foarte serioasă mai durează. Este un atac de tipul monedă virtuală și se distribuie prin același mecanism prin care s-a distribuit și ‘Wanna Cry, Wanna Crypt’. Instituțiile care și-au instalat actualizările la zi nu vor fi victima acestui atac. Este aceeași vulnerabilitate”, a declarat Anton Rog miercuri.
Specialiștii susțin că noul atac este similar cu cel de vinerea trecută, însă este mai greu de observat: „Infectează victimele, dar în loc să le blocheze accesul la fișierele de pe calculator, pur și simplu folosește resursele calculatorului pentru a mina monedă virtuală pentru atacatori. Practic, folosește calculatoarele infectate pentru a face bani pentru atacatori. În momentul în care infectează victima, aceasta blochează o altă versiune de a folosi aceeași vulnerabilitate. Se asigură că odată infectat, computerul nu mai poate fi infectat de orice altă versiune de virus, iși asigură persistența pe sistem. Tot ceea ce vede utilizatorul este o încetinire a calculatorului. Va deschide aplicații mai greu, va consuma mai multe resusrse, dar nu va știi ce se întâmplă pe calculator. Atacul din weekend era interesant pentru că în momentul în care te infectai, vedeai efectiv că s-a întâmplat ceva cu calculatorul tău, vedei un mesaj pe ecran și că nu mai poți accesa fișierele. În momentul de față, calculatorul poate fi infectat o foarte lungă perioadă de timp fără să îți dai seama”, a explicat Liviu Arsene, specialist în securitate cibernetică.
Noul virus ar fi apărut pe 15 mai, până în prezent nefiind nicio raportare în România.
„Nu cer recompensă, dar pot face bani accesând datele din calculatoarele respective. Bitcoin este o monedă virtuală. Ea funcționează ăn felul următor: trebuie să rezolvi o ecuație matematică pentru a obține un rezultat. Cu cât ai o putere de procesare mai mare, cu atât poți obținem mai multe rezultate. Există o întreagă piață de produse cumpărate prin intermediul monedelor virtuale. Poți cumpăra mașini de spălat, frigidere, bunuri pe care le poți vinde mai departe pentru bani fizici. Momentan este foarte greu de știut câte victime sunt. Unul din motivele pentru care „I wanna cry” s-a oprit sau nu s-a împrăștiat atât de mult ar putea fi faptul că acest nou virus ar fi blocat infecția cu „I wanna cry”. A apărut de pe data de 15 mai, dar momentan, din utilizatorii noștri, nu avem nicio raportare”, mai spune Liviu Arsene.