Trước WannaCry, Bonet đào tiền điện tử đã khai thác lỗ hổng SMB của Windows

20/03/2017
113
356 bài viết
Trước WannaCry, Bonet đào tiền điện tử đã khai thác lỗ hổng SMB của Windows
Ít nhất hai tuần trước khi bùng nổ các cuộc tấn công của WannaCry, một malware bí ẩn dùng để đào tiền điện tử thông qua khai thác lỗ hổng SMB của Windows đã được phát hiện.

Theo chuyên gia Kafeine của công ty an ninh Proofpoint, có một nhóm tội phạm mạng đã khai thác lỗ hổng EternalBlue, do NSA tạo ra và bị Shadow Brokers công khai vào tháng 4/2017, để lây nhiễm hàng trăm ngàn máy tính trên toàn thế giới bằng một malware đào tiền điện tử có tên 'Adylkuzz.'

anh diem tin.png
Trong nhiều tuần chiến dịch tấn công của malware này không được chú ý vì khác với WannaCry, malware này không cài đặt ransomware hoặc thông báo cho nạn nhân, nhưng nó sẽ âm thầm lây nhiễm các máy tính chưa cập nhật bản vá bằng malware chỉ đào "Monero", một loại tiền điện tử giống Bitcoin.

Malware này đã “cứu” hàng loạt máy tính trước các cuộc tấn công của WannaCry

Theo chuyên gia Kafeine, các cuộc tấn công của malware Adylkuzz có thể xảy ra trên phạm vi lớn hơn so với tấn công WannaCry vì nó được thiết kế để chặn các cổng SMB của một máy tính mục tiêu sau khi bị chiếm quyền điều khiển.

Nói cách khác, malware Adylkuzz lây nhiễm các máy tính chưa được cập nhật bản vá và đóng các cổng SMB để ngăn chúng không bị lây nhiễm thêm nữa, từ đó có thể gián tiếp giúp hàng trăm nghìn máy tính thoát khỏi sự tấn công của WannaCry.

Đào tiền điện tử khá tốn kém vì việc này đòi hỏi một mạng máy tính quy mô lớn, nhưng malware Adylkuzz giúp việc đào tiền dễ dàng hơn bằng cách cho phép các hacker sử dụng tài nguyên máy tính của các hệ thống bị chiếm quyền và từ đó kiếm được số tiền lớn.

Theo Robert Holmes, phó chủ tịch phụ trách các sản phẩm của Proofpoint, một khi đã bị lây nhiễm thông qua việc khai thác lỗ hổng EternalBlue, Adylkuzz được cài đặt và sử dụng để tạo ra tiền điện tử cho kẻ tấn công.

Một Monero hiện có giá trị khoảng US$26.77.

Chuyên gia cũng cho biết trong khi một laptop cá nhân chỉ có thể tạo ra một vài đô la mỗi tuần thì 1 mạng với nhiều máy tính bị chiếm quyền có thể tạo ra số tiền tới năm con số mỗi ngày cho các hacker.

Theo Proofpoint, hàng chục nghìn máy tính trên toàn thế giới đã bị lây nhiễm malware Adylkuzz.

Ngay cả khi người dùng đã cập nhật bản vá để ngăn chặn sự đe dọa của WannaCry, Proofpoint tin rằng cuộc tấn công của Adylkuzz vẫn không ngừng tăng lên và nhắm mục tiêu vào các máy tính chạy Windows.

Tuần trước, theo một nghiên cứu riêng biệt từ các nhà nghiên cứu của GuardiCore, một botnet malware mới đã được phát hiện, có tên BondNet đang lây nhiễm các máy Windows trên toàn thế giới, kết hợp nhiều kỹ thuật để đào các loại tiền điện tử như ByteCoin, RieCoin và ZCash nhưng chủ yếu vẫn là Monero.

Nhóm hacker Shadow Brokers hứa hẹn sẽ công khai thêm nhiều lỗ hổng zero-day mới và bắt đầu khai thác các lỗ hổng từ tháng 6/2017.

Hiện biện pháp tốt nhất để bảo vệ người dùng trước WannaCry, các malware đào tiền điện tử và nhiều loại malware khác là cập nhật các bản vá mới nhất và thực hiện theo các hướng dẫn tắt SMB.

Nguồn: Hackernews
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
adylkuzz tiền điện tử wannacry
Bên trên