WannaCrypt ランサムウェアによって悪用された、現在では悪名高い Windows の脆弱性 (MS17-010) は、別の種類のマルウェア、具体的には暗号通貨マイナーの拡散にも悪用されています。
セキュリティ企業 Proofpoint によれば、Adylkuzz キャンペーンは WannaCry より数日前から存在し、先週の WannaCry 感染の拡大を抑制した可能性もあるという。
Proofpoint によると、「この攻撃は、同じ脆弱性を介した他のマルウェア (WannaCry[pt] ワームを含む) によるさらなる感染を防ぐために SMB ネットワークをシャットダウンするため、初期統計では、この攻撃の規模が WannaCry[pt] よりも大きい可能性があることが示唆されています。」
標的のマシンは、暗号通貨モネロのマイニングに利用されます。モネロはビットコインの代替通貨であり、最近、アルファベイのダークネット市場で麻薬、盗難クレジットカード、偽造品の取引に利用されています。
「EternalBlueの脆弱性を利用して感染すると、暗号通貨マイナーのAdylkuzzがインストールされ、攻撃者のサイバーキャッシュを生成するために使用される」とプルーフポイントの製品担当副社長ロバート・ホームズ氏は述べた。
Adylkuzzマイニングに関連するMoneroアドレス [出典: Proofpointのブログ投稿]
Adylkuzzは5月2日かそれ以前にキャンペーンを開始しており、これはWannaCryptが爆発的に出現する1週間以上前のことでした。Adylkuzzのマイニングによる収益が関連付けられている複数のMoneroアドレスのうち、1つは2万2千ドル、もう1つは7千ドル、そして3つ目は1万4千ドルの収益を生み出しましたが、その後マイニングは停止しました。Adylkuzzの背後にいる犯罪者たちは、WannaCryptランサムウェアの犯人よりもはるかに多くの収益を上げている兆候が見られます。
1台のノートパソコンでは週に数ドルしか稼げないかもしれませんが、侵入されたコンピューターのネットワーク全体では、毎日5桁の金額が支払われているようです。ランサムウェアとは異なり、被害者に金銭を要求することはありません。このマルウェアは意図的にステルス性を高めており、ユーザーはWindowsマシンの動作が遅くなり、共有Windowsリソースにアクセスできないことに気づくだけです。
Proofpointは、世界中で数万台のコンピューターがAdylkuzz攻撃の影響を受けていると警告しています。WannaCryptに触発されたクリーンアップとパッチ適用の取り組みにもかかわらず、ProofpointはAdylkuzz攻撃が依然として拡大していると見ています。
「Windows の旧バージョンを実行している組織や、3 月と先週末に Microsoft がリリースしたパッチを適用していない組織の場合、PC とサーバーはこの種の攻撃に対して脆弱なままになります」とホームズ氏は付け加えた。®
