Der neue Angriff mit „Adylkuzz” steht vermutlich ebenfalls im Zusammenhang mit den gestohlenen Informationen über Sicherheitslöcher, die die NSA gesammelt hat. Doch im Gegensatz zu WannaCry läuft bei Adylkuzz alles im Hintergrund des Systems ab und die Anwender wissen nicht einmal, dass sie unfreiwillig Teil eines Verbrechernetzwerks geworden sind.
Monika Schaufler, Regional Director DACH von Proofpoint, erläutert die Problematik:
„Unsere Experten haben mit Adylkuzz einen neuen Angriff entdeckt, der mit WannaCry in Verbindung gebracht werden kann. Und auch dieser nutzt die von der NSA gesammelten und dann gestohlenen Sicherheitslücken aus. Aber Adylkuzz arbeitet im Verborgenen und hat ein anderes Ziel. Den Cyberkriminellen geht es um die digitale Währung Monero, eine Alternative zu Bitcoin. Auf den infizierten Maschinen wird virtuelles Geld in Form von Monero erzeugt. Monero ist eine Kryptowährung, die bei Alphabay, einem Marktplatz im Darknet, verwendet wird, um beispielsweise Drogen, gestohlene Kreditkarten oder gefälschte Waren zu bezahlen. Das ist für die Betrüger weitaus profitabler als ein Erpresserangriff wie etwa WannaCry.
Wir vermuten, dass WannaCry mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat. Möglicherweise hat Adylkuzz die weitere Ausbreitung von WannaCry sogar verhindert. Denn sowohl WannaCry als auch Adylkuzz verwenden für ihre Verbreitung die Sicherheitslücke „EternalBlue“, die den von Microsofts SMB-Protokoll für Datei-, Druck- und sonstige Serverdienste in Netzwerken verwendeten IP-Port 445 nutzt. Nachdem Adylkuzz einen Rechner befallen hat, blockiert er den Port 445 und verschließt somit dieses Einfallstor für WannaCry. Das hat folgenden Grund: Künstliche Währungen wie Monero erfordern sehr viel Rechenleistung. Daher sind die Entwickler von Adylkuzz daran interessiert, dass andere Schadsoftware dieses Einfallstor nicht mehr nutzen kann und der befallene Rechner ihnen exklusiv zur Verfügung steht. Der betroffene Anwender wird dabei jedoch nicht erpresst und erhält keine Nachricht der Cyberkriminellen. Die Anwender merken lediglich, dass ihre Systeme sehr langsam werden und dass sie auf bestimmte, gemeinsam genutzte Windows-Ressourcen nicht mehr zugreifen können.
Die Erzeugung des virtuellen Zahlungsmittels erfolgt direkt nach der Infektion. Die generierten Summen je individuellem Rechner sind mit wenigen Dollar je Woche gering. In Summe ergibt die hohe Zahl der befallenen Rechner allerdings ein erzeugtes Zahlungsvolumen von Zehntausenden oder Hunderttausenden Dollar.