Wannacry, là fuori, non è solo. Il ransomware che una settimana fa ha iniziato a mettere in ginocchio centinaia di migliaia di Pc, crittografando i file per chiedere un riscatto in bitcoin, ha un “cugino”: si chiama Adylkuzz e infetta le macchine sfruttando lo stesso exploit EternalBlue derivante dalla National Security Agency statunitense (a cui si aggiunge anche la backdoor DoublePulsar) ma, a differenza di Wannacry, non rende inutilizzabili i computer. Il suo scopo è quello di aprirsi un varco per installare silenziosamente sul dispositivo un miner della criptovaluta Monero, una forma di moneta elettronica meno nota dei bitcoin. Il risultato è che le prestazioni di Pc e server subiscono un notevole rallentamento, in quanto il programma sfrutta potenza di calcolo e banda per le proprie elaborazioni e per generare nuova valuta.
La nuova minaccia è stata studiata e approfondita dai ricercatori di Proofpoint, che hanno parlato di una diffusione ancora maggiore rispetto a Wannacry e di ricavi superiori per gli hacker: secondo le statistiche diffuse in settimana, infatti, il primo malware è riuscito a farsi consegnare dalle vittime solo 20mila dollari. Secondo Proofpoint, diverse aziende di grandi dimensioni hanno iniziato a riportare problemi nelle ultime ore e hanno inizialmente ricollegato gli incidenti a Wannacry.
A causa però della mancanza della richiesta di riscatto, “crediamo che tutto questo sia associato all’attività di Adylkuzz”. La società di sicurezza sottolinea inoltre come quest’ultima campagna di malware sia iniziata sensibilmente in anticipo rispetto a Wannacry: si parla addirittura del 24 aprile scorso. Il procedere silenzioso dell’attacco ha quindi fatto sì che passasse perlopiù inosservato.
Non del tutto, però, perché il programma può anche impossessarsi delle risorse per guadagnare l’accesso alle risorse condivise del sistema operativo, che di fatto diventano poi inutilizzabili dall’utente. L’attacco è coordinato da diversi server virtuali privati che analizzano in modo massiccio Internet, alla ricerca di porte 445/tcp per individuare target potenziali.
La criptovaluta Monero
Dopo l’exploit tramite EternalBlue, le macchine vengono infettate con DoublePulsar: grazie alla backdoor aperta nel Pc, la botnet invia Adylkuzz che entra poi in esecuzione. Una volta lanciato, il malware blocca innanzitutto altre eventuali istanze di se stesso e interrompe la comunicazione via protocollo Smb per evitare ulteriori infezioni. Infine, il programma malevolo determina l’indirizzo Ip pubblico del computer e scarica le istruzioni di mining, il cryptominer e altri strumenti di pulizia.
A questo punto inizia la creazione vera e propria di criptovaluta. Gli indirizzi analizzati da Proofpoint che ricevono i pagamenti sono diversi e in alcuni casi gli hacker hanno raccolto il controvalore di circa 22mila dollari. Un Monero vale poco più di 27 dollari al tasso di cambio attuale. I ricercatori hanno identificato oltre 20 host ed è attiva almeno una decina di server command and control. Ma i numeri reali potrebbero essere molto più alti.