Χάκερς προσπαθούν να εκμεταλλευτούν ευπάθειες σε Microsoft Exchange servers, έχοντας ως στόχο να τους προσθέσουν στο botnet τους για εξόρυξη κρυπτονομισμάτων. Λαμβάνοντας υπόψη το επίπεδο της πρόσβασης που αποκτούν οι χάκερς, θα μπορούσαν να τη χρησιμοποιήσουν για να πραγματοποιήσουν άλλες, πολύ πιο επικίνδυνες κυβερνοεπιθέσεις.
Το εν λόγω botnet έχει την ονομασία “Prometei” και σύμφωνα με ερευνητές ασφαλείας της Cybereason, πρόκειται για μία παγκόσμια κακόβουλη εκστρατεία που στοχεύει οργανισμούς σε μια επίθεση πολλών σταδίων.
Οι χάκερς που βρίσκονται πίσω από το Prometei botnet, εκμεταλλεύονται ευπάθειες σε Microsoft Exchange servers για να εισβάλουν σε δίκτυα. Υπάρχουν ενημερώσεις ασφαλείας που μπορούν να πραστατεύσουν από επιθέσεις, ωστόσο το Prometei σαρώνει το Διαδίκτυο για να εντοπίσει οργανισμούς που δεν έχουν εφαρμόσει ακόμη patch, και να αποκτήσει πρόσβαση σε δίκτυα.
Διαβάστε επίσης: Hackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers
Το Prometei δεν στοχεύει έναν συγκεκριμένο οργανισμό. Οι επιτιθέμενοι απλώς αναζητούν ευάλωτα δίκτυα που μπορούν να εκμεταλλευτούν. Σύμφωνα με ερευνητές, το botnet απαριθμεί θύματα σε βιομηχανίες διαφόρων περιοχών, όπως η Βόρεια και η Νότια Αμερική, η Ευρώπη και η Ανατολική Ασία.
Κύριος στόχος των επιτιθέμενων είναι να εγκαταστήσουν cryptojacking malware για να εξορύξουν Monero.
Το Prometei εκμεταλλεύεται τις ευπάθειες στους Microsoft Exchange servers για να αποκτήσει αρχική πρόσβαση σε ένα δίκτυο και προσπαθεί να «μολύνει» όσο το δυνατόν περισσότερα τελικά σημεία – χρησιμοποιώντας μια ποικιλία γνωστών τεχνικών επίθεσης, για να κινηθεί πλευρικά στο δίκτυο.
Δείτε ακόμη: Black Kingdom ransomware: Στοχεύει Microsoft Exchange servers. Η Ελλάδα ανάμεσα στα θύματα
Ανάμεσα στις τεχνικές περιλαμβάνονται η συλλογή credentials σύνδεσης, η εκμετάλλευση ευπαθειών RDP και η χρήση παλαιότερων exploits, συμπεριλαμβανομένων των EternalBlue και BlueKeep, για την παραβίαση όσο το δυνατόν περισσότερων μηχανημάτων. Το EternalBlue και το BlueKeep έχουν λάβει – όπως κι οι ευπάθειες του Microsoft Exchange Server – patches, αλλά οι επιτιθέμενοι μπορούν να εκμεταλλευτούν οργανισμούς που δεν τα έχουν εφαρμόσει στο δίκτυό τους.
Επιπλέον, οι ερευνητές επισημαίνουν ότι οι χάκερς που βρίσκονται πίσω από το Prometei φαίνεται να θέλουν να επιτύχουν μακροχρόνια επιμονή σε ένα δίκτυο, πράγμα που κάνουν χρησιμοποιώντας τεχνικές που σχετίζονται με εξελιγμένες εγκληματικές επιχειρήσεις στον κυβερνοχώρο, ακόμη και κρατικές hacking ομάδες. Το Prometei επικεντρώνεται προς το παρόν στην εξόρυξη κρυπτονομισμάτων.
Ο Assaf Dahan, επικεφαλής έρευνας απειλών στη Cybereason, ανέφερε τα ακόλουθα: «Όσο περισσότερο καταφέρνουν να παραμείνουν σε ένα δίκτυο, τόσο περισσότερα κρυπτονομίσματα μπορούν να εξορύξουν. Επομένως, οι χάκερς βελτίωσαν την ανθεκτικότητα του botnet, πρόσθεσαν δυνατότητες “μυστικότητας” στο malware, ενώ χρησιμοποίησαν επίσης τεχνικές και εργαλεία που πολλές φορές σχετίζονται με τις APT (Advanced Persistent Threats) ομάδες. Εάν θέλουν, οι επιτιθέμενοι θα μπορούσαν επίσης να μολύνουν τα παραβιασμένα τελικά σημεία με άλλα malware, καθώς και να συνεργαστούν με ransomware συμμορίες για να πουλήσουν πρόσβαση στα τελικά σημεία.»
Πρόταση: Matryosh botnet: Στοχεύει Android-based συσκευές για DDoS επιθέσεις!
Δεν είναι γνωστά πολλά για την εγκληματική επιχείρηση πίσω από το Prometei, αλλά σύμφωνα με την ανάλυση της δραστηριότητας της ομάδας από την Cybereason, οι χάκερς μιλούν ρωσικά και φαίνεται να αποφεύγουν τη μόλυνση στόχων στη Ρωσία.
Το όνομα του botnet “Prometei” είναι η ρωσική λέξη για τον Prometheus, τον τιτάνα που έδωσε τη φωτιά στους ανθρώπους σύμφωνα με την ελληνική μυθολογία. Εκτιμάται ότι το Prometei εξακολουθεί να ψάχνει νέους στόχους να μολύνει. Ο καλύτερος τρόπος να αποφύγετε να πέσετε θύματα, είναι να εφαρμόσετε τις κρίσιμες ενημερώσεις ασφαλείας που έχουν κυκλοφορήσει για τον Microsoft Exchange Server.
Τέλος, ο Dahan τόνισε ότι οι οργανισμοί πρέπει, πρώτα απ’όλα, να προσπαθούν να έχουν μια καλή διαδικασία διαχείρισης κώδικα και να διορθώνουν δυνητικά ευάλωτα συστήματα. Όμως το πιο σημαντικό είναι οι ομάδες ασφάλειας και IT να προλαμβάνουν τέτοια περιστατικά και να «κυνηγούν» συνεχώς γνωστές απειλές.
Πηγή πληροφοριών: zdnet.com
