Campagne de distribution du mineur de cryptomonnaie Adylkuzz

Numéro : AL17-007
Date : Le 18 mai 2017

Objet

La présente alerte a pour but d'attirer l'attention sur une campagne de distribution d'un mineur de cryptomonnaie et de fournir des directives ainsi que des conseils en matière d'atténuation à ce sujet.

Évaluation

Le CCRIC a pris connaissance d'une campagne de mineur de cryptomonnaie, appelée « Adylkuzz », dont la diffusion est similaire celle de la récente campagne de rançongiciel WannaCry. Des rapports de source ouverte indiquent que ce maliciel existait avant la campagne WannaCry et tire parti de l'exploitation EternalBlue ainsi que de la porte dérobée DoublePulsar comme moyens de diffusion. En général, elle installe le mineur de cryptomonnaie Adylkuzz. Il convient de noter que la porte dérobée DoublePulsar permet d'installer d'autres maliciels et non pas seulement celui-ci.

Parmi les symptômes de compromission, comptons la perte de l'accès à des ressources partagées Windows de même que la diminution potentielle du rendement de l'ordinateur et du serveur. En outre, les rapports de source ouverte indiquent que l'envergure de cette campagne est possiblement supérieure à celle de WannaCry ; elle toucherait des centaines de milliers d'ordinateurs et de serveurs dans le monde. Par conséquent, le CCRIC recommande fortement d'appliquer les correctifs pour le protocole SMB en vue d'empêcher toute exploitation ultérieure.

Mesures Recommandées

Le CCRIC recommande aux organismes de consulter les renseignements d'atténuation suivants et de les mettre en œuvre en fonction de leur environnement réseau.

Références :

Date de modification :