L'attaque par le ransomware WannaCry a été très médiatisée ces derniers jours. Pourtant, une autre attaque a été plus discrètement menée et serait antérieure. Elle a pour point commun d'exploiter la même vulnérabilité Windows que WannaCry - et donc corrigée (MS17-010) - sur le port TCP 445.

Elle s'appuie sur l'exploit EternalBlue afin d'identifier une cible et installer une backdoor DoublePulsar qui injecte la charge utile. Deux outils qui fleurent bon la NSA et fuités par les Shadow Brokers. Du déjà-vu avec WannaCry mais Adylkuzz n'est pas un ransomware.

Adylkuzz a pour but du minage de crypto-monnaie, et en l'occurrence Monero. Un tel type de malware servant à financer des attaquants à l'insu de l'utilisateur (un botnet de minage est constitué) n'est pas une nouveauté en soi. Rappelons que le minage de crypto-monnaie récompense les mineurs avec des fonds dans la crypto-monnaie concernée.

Selon le chercheur en sécurité Kafeine de Proofpoint, l'attaque est lancée depuis des serveurs virtuels privés qui scannent de manière massive le port TCP 445 afin de trouver des victimes potentielles. Point " amusant ", les machines infectées par Adylkuzz sont protégées contre WannaCry. Après infection, Adylkuzz ferme les communications SMB.

Adylkuzz pourrait ainsi avoir contribué à limiter la propagation de WannaCry. La découverte de Proofpoint a eu lieu lors de l'exposition d'une machine de laboratoire vulnérable à l'exploit EternalBlue. Ce n'est pas WannaCry qui s'est présenté mais Adylkuzz.

La campagne d'attaque Adylkuzz aurait débuté entre le 24 avril et le 2 mai. Pour les entreprises potentiellement touchées, elle est moins destructrice que WannaCry mais a priori plus lucrative pour les attaquants.