Même avant les attaques de WannaCry, le logiciel de rançon qui détournait les fichiers des entreprises du monde entier, d’autres logiciels malveillants profitaient de la même vulnérabilité de Windows pour se propager. La différence est que la peste, baptisée Adylkuzz, n’attire pas l’attention de l’utilisateur et ne disparaît pas avec les fichiers : au contraire, elle transforme silencieusement votre ordinateur en un mineur cryptomorphe.
Adylkuzz utilise la puissance de traitement de votre PC pour exploiter Monero, une monnaie virtuelle similaire à Bitcoin, mais axée sur la confidentialité et beaucoup moins populaire ? alors que la somme de la valeur de tous les Bitcoins en circulation était de plus de 30 milliards de euros) au moment où j’écrivais ce paragraphe, Monero avait une valeur marchande de seulement 425 millions de euros).
ProofPoint, l’entreprise de sécurité qui a découvert le malware, a identifié plusieurs adresses Monero associées à l’attaque. L’un d’entre eux avait déjà gagné l’équivalent de plus de 22 000 euros) grâce aux machines à zombies, un autre, 7 000 euros), et un troisième, 14 000 euros). Ce n’est pas beaucoup, mais étant donné que WannaCry n’a pu faire que 84 000 euros) même avec autant de bruit, c’est une somme considérable.
Le processus d’infection est le même qu’avec WannaCry : il tire parti de la faille de sécurité du SMBv1, le protocole de partage de fichiers de Windows, et se propage rapidement aux machines vulnérables du même réseau. Adylkuzz serait actif depuis au moins le 2 mai, mais il y a des traces de son exploitation minière depuis le 24 avril.
Ce qui est curieux, c’est qu’Adylkuzz bloque SMB (plus précisément le port TCP 445) après avoir infecté la machine pour éviter la “concurrence” avec d’autres logiciels malveillants qui profitent de la même vulnérabilité de Windows. Comme le mineur de Monero est apparu il y a plus longtemps, cela signifie qu’Adylkuzz a pu contenir la propagation de WannaCry ( !) parce qu’il est arrivé plus tôt.
La meilleure façon de se protéger contre WannaCry et Adylkuzz est, bien sûr, de garder Windows toujours à jour. La faille de sécurité a déjà été corrigée par Microsoft en mars.
