NSA由来の「EternalBlue」、悪用は「WannaCrypt」より「Adylkuzz」が先 - 狙いは仮想通貨

ランサムウェア「WannaCrypt」が悪用していたとして注目されたエクスプロイト「EternalBlue」だが、「WannaCrypt」より先に、別のマルウェアで悪用されていたことがわかった。

「EternalBlue」は、米国家安全保障局（NSA）から流出したとされるエクスプロイト。マイクロソフトが3月に公開した月例セキュリティ更新「MS17-10」によって修正された「SMB v1」の脆弱性「CVE-2017-0145」を悪用する。

「WannaCrypt」では、ネットワークを経由し、同脆弱性を悪用して脆弱性を解消していない端末に伝播していくワームとしての機能を備えていたことから、感染拡大の一因となった。

「WannaCrypt」の特徴とも言える同脆弱性の悪用だが、「WannaCrypt」の拡散より以前に、「Adylkuzz」が感染活動で同脆弱性を悪用していた。感染すると、仮想通貨である「Monero」を攻撃者のために稼ぐため、感染端末のリソースを浪費する。

「Adylkuzz」の検出数（グラフ：ESET）

（Security NEXT - 2017/05/19 ） ツイート

PR

関連記事

米政府、ランサムウェア対応ガイドの改訂版を公開
二重脅迫やめたランサムウェア「BianLian」 - 米豪が注意喚起
米政府、印刷管理ソフトの脆弱性で注意喚起 - ランサムグループも悪用
サーバがランサム被害、影響など調査 - シークス
サーバにランサム攻撃、ファイルが暗号化 - 日本コンクリート工業
海外拠点にランサム攻撃、漏洩データの一部がサイト公開 - 双信電機
ゴールデンウィークに向けてセキュリティ体制の再確認を
不正アクセスで情報流出、メンテ用機器から侵入か - シード
ファイルサーバ管理ソフトにログ監視オプション - ランサムなど不正操作を通知
MS月例パッチで修正されたゼロデイ脆弱性、ランサム感染活動で悪用