/ Security / WannaCry: Mining-Trojaner Adylkuzz nutzte gleiche Lücken wohl schon vorher

WannaCry: Mining-Trojaner Adylkuzz nutzte gleiche Lücken wohl schon vorher

Moritz Rosenfeld on May 17, 2017 - 6:35 am in Security

Sicherheitsforscher haben bei Analysen von WannaCry offenbar einen Trojaner gefunden, der die gleichen Lücken ausnutzt, aber unauffällig bleibt. Statt Daten zu verschlüsseln, nutze Adylkuzz die Rechner, um Kryptogeld zu erzeugen.

Schon Tage vor Beginn des weltweiten Hacker-Angriffs durch den Krypto-Trojaner WannaCry hat ein deutlich unauffälligerer Trojaner die gleichen Sicherheitslücken ausgenutzt, um Kryptogeld zu scheffeln. Das berichten Sicherheitsforscher des US-Unternehmens Proofpoint, die den Trojaner namens Adylkuzz im Rahmen ihrer Analysen von WannaCry entdeckt haben. Adylkuzz infiziere demnach bereits mindestens seit dem 2. Mai ungepatchte Windows-PC und eventuell sogar schon seit dem 24. April. Ist ein System befallen, werde Rechenleistung abgezwackt, um damit das Kryptogeld Monero zu erzeugen.

Genau wie WannaCry nutzt Adylkuzz demnach einen Exploit namens EternalBlue, den wohl die NSA entwickelt und die Hackergruppe Shadow Brokers veröffentlicht hat. Dabei nutze die Malware eine Lücke in Windows Dateifreigaben (SMB) um in das System zu gelangen und lädt dann über eine ebenfalls von der NSA stammende Hintertür namens DoublePulsar die eigentliche Schadsoftware nach. Die beginne mit der Erzeugung von Kryptogeld, das an virtuelle Geldbeutel der Malware-Entwickler gesendet wird. Anders als WannaCry stoppe Adylkuzz aber auch die Dateifreigaben und verhindert damit weitere Angriffe auf diesem Weg. Dadurch könnte Adylkuzz die Ausbreitung von WannaCry behindert haben, meint Proofpoint.

Ähnliches Ausmaß wie WannaCry

Befallene Rechner seien am deutliche Leistungsabfall zu erkennen und am verlorenen Zugang zu anderen Windows-Ressourcen, erläutert Proofpoint. Viele Betroffene hätten das anfangs auf WannaCry geschoben, dafür fehlte aber die Verschlüsselung der wichtigen Dateien. Die Angriffe mit Adylkuzz laufen demnach unvermindert weiter und stünden denen von WannaCry wohl in ihrem Ausmaß nicht nach. Angesichts der Einblicke, die Proofpoint in einige der Monero-Geldbeutel hatte, an die das erzeugte Kryptogeld geflossen ist, scheint diese Attacke für die verantwortlichen Hacker aber deutlich lukrativer zu sein, als es WannaCry war. Schutz bieten die von Microsoft zur Verfügung gestellten Patches. (mho)

Read more on: Source

Comments are disabled