реклама
Киберпреступники пытаются использовать уязвимости на серверах Microsoft Exchange, чтобы добавить в свой ботнет, для добычи криптовалюты. Но уровень доступа, который они получают, означает, что они могут его использовать для других, гораздо более опасных кибератак.
реклама
Киберпреступники, стоящие за ботнетом, используют уязвимости в Microsoft Exchange Server как средство проникновения в сети. Существуют обновления безопасности, которые можно установить для защиты от атак, но Prometei сканирует Интернет в поисках организаций, которые еще не применили исправление, и использует его, чтобы закрепиться в сетях. Prometei не нацелен на конкретную организацию; злоумышленники просто ищут любые уязвимые сети, которые они могут использовать. По словам исследователей, ботнет уже нашел жертв во многих отраслях в различных регионах, включая Северную Америку, Южную Америку, Европу и Восточную Азию.
Основная цель злоумышленников — установить вредоносное ПО для криптоджекинга для майнинга Monero, что позволит злоумышленникам тайно использовать вычислительную мощность зараженных устройств, чтобы набить свои карманы криптовалютой. Prometei использует уязвимости в серверах Microsoft Exchange для получения начального доступа к сети и пытается заразить как можно больше конечных точек, используя различные известные методы атаки для горизонтального перемещения по сети. К ним относятся сбор учетных данных для входа в систему, использование уязвимостей RDP и даже использование старых эксплойтов, включая EternalBlue и BlueKeep, для перемещения по сетям, выполняя разведку, необходимую для компрометации как можно большего числа машин.
«К сожалению, наличие патчей не означает быстрое развертывание исправления, что мы неоднократно видели в прошлом. Например, спустя годы после утечки эксплойта EternalBlue и появления исправлений, мы все еще наблюдали, как злоумышленники используют эту уязвимость», - сказал Ассаф Дахан, руководитель отдела исследования угроз Cybereason. Те, кто стоит за Prometei, похоже, хотят добиться долгосрочного присутствия в сети, и они делают это, используя методы, связанные со сложными киберпреступными операциями и даже хакерскими группами национальных государств. По крайней мере, на данный момент Prometei ориентирован на майнинг криптовалюты.
«Чем дольше они могут оставаться незамеченными в сети, тем больше криптовалюты добывается. Поэтому они повысили устойчивость ботнета, добавили скрытые функции к вредоносному ПО и использовали методы и инструменты, которые часто ассоциируются с Advanced Persistent Threats», - сказал Дахан. «При желании злоумышленники могут также заразить скомпрометированные конечные точки другими вредоносными программами и сотрудничать с бандами вымогателей, чтобы продать доступ к конечным точкам», - добавил он.
Считается, что Prometei по-прежнему активно ищет новые цели для заражения, и лучший способ не стать жертвой — применить критические обновления безопасности для Microsoft Exchange Server.