WannaCry-værktøj kan tidligere være brugt til at mine kryptovaluta

De hackerværktøjer, som for en måned siden blev lækket fra NSA, og som blev brugt til det omfattende ransomware-hack i weekenden, er muligvis allerede blevet brugt i et tidligere hack.

Ifølge Ars Technica har sikkerhedseksperter fundet frem til, at exploiten med kodenavnet EternalBlue og bagdøren i Windows kaldet DoublePulsar tidligere er blevet brugt til at skabe et omfattende botnet til at generere kryptovaluta. Det skulle angiveligt havde fundet sted mellem den 24. april og 2. maj - altså op til flere uger inden fredagens store ransomware-hack.

Angrebet blev igangsat fra adskillige virtuelle og private servere, som scannede internettet på TCP port 445 for at finde enheder, som besad svagheden. Når disse enheder blev fundet, blev de inficeret med DoublePulsar, som efterfølgende downloadede og kørte Adylkuzz.

Det vil altså sige, at frem for at installere ransomware gennem den bagdør, som WannaCry brugte, har bagmændene installeret cryptomining-softwaren Adylkuzz.

Kan have bremset WannaCry

Det er sikkerhedsfirmaet Proofpoint, som fandt frem til det første tilfælde af en Adylkuzz-inficeret maskine.

Kafeine, sikkerhedseksperten som fandt cryptomining-softwaren, skrev i et blogindlæg:

»Mens vi undersøgte WannaCry-kampagnen, gjorde vi en computer på laboratoriet sårbar over for EternalBlue-angrebet. Vi regnede med at se WannaCry, men maskinen var inficeret med en uventet og langt mindre larmende gæst: Kryptovalutamineren Adylkuzz.«

Adylkuzz blev brugt til at mine Monero-valutaen. Angiveligt er det en fuldt anonym form for kryptovaluta, som ikke skulle være mulig at spore, i modsætning til bitcoins.

Symptomer på, at man er blevet ramt af valutamineren, er tab af adgang til netværksressurcer og et langsommere system.

Dog påpeger Kafeine i rapporten, at da Adylkuzz automatisk lukker ned for SMB-netværkskommunikationen, kan den faktisk have været medvirkende til en bremsning af WannaCry-virussens spredning.