La puerta trasera de la botnet del servidor de Microsoft Exchange, extrae criptomonedas

La puerta trasera de la botnet del servidor de Microsoft Exchange, extrae criptomonedas

Los servidores de Microsoft Exchange sin parchear están siendo atacados por la botnet Prometei y agregados al ejército de sus operadores de robots de minería de criptomonedas Monero (XMR).

Este malware modular puede infectar sistemas Windows y Linux y se detectó por primera vez el año pasado mientras usaba el exploit EternalBlue para propagarse por redes comprometidas y esclavizar computadoras Windows vulnerables.

Índice()

    Alrededor desde al menos 2016

    El equipo Nocturnus de Cybereason descubrió recientemente que la botnet probablemente ha existido durante casi media década, según los artefactos de Prometei enviados a VirusTotal en mayo de 2016.

    Según las nuevas muestras de malware que Cybereason encontró recientemente durante las respuestas a incidentes recientes, la botnet también se ha actualizado para aprovechar las vulnerabilidades de Exchange Server parcheadas por Microsoft en marzo.

    El objetivo principal de los ataques de Prometei a los servidores Exchange es distribuir la carga útil de criptominería, comenzar a ganar dinero para sus operadores y extenderse a otros dispositivos en la red utilizando exploits EternalBlue y BlueKeep, credenciales recopiladas y módulos esparcidores SSH o SQL.

    "Cuando los atacantes toman el control de las máquinas infectadas, no solo pueden extraer bitcoins robando poder de procesamiento, sino que también pueden exfiltrar información confidencial". Ella dijo Assaf Dahan, director senior de Cybereason y jefe de investigación de amenazas.

    "Si lo desean, los atacantes también pueden infectar terminales comprometidos con otro malware y asociarse con grupos de ransomware para vender acceso a terminales".

    Flujo de ataque de intercambio de Prometei
    Flujo de ataque de intercambio de Prometei (Cyberazon)

    Botnet de criptojacking con funcionalidad de puerta trasera

    Sin embargo, el malware se ha actualizado con la funcionalidad de puerta trasera compatible con una amplia gama de comandos.

    Estos incluyen descargar y ejecutar archivos, buscar archivos en sistemas infectados y ejecutar programas o comandos en nombre de los atacantes.

    "Las últimas versiones de Prometei ahora brindan a los atacantes una puerta trasera sofisticada y sigilosa que admite una amplia gama de actividades que hacen que la minería de monedas de Monero sea la menor de las preocupaciones de las víctimas", Cybereason Nocturnus Team Ella dijo.

    Aunque se desconocen los actores de amenazas detrás de esta botnet, hay evidencia de que hablan ruso, incluido el nombre de la botnet, Prometei (ruso para Prometheus) y el código ruso y el nombre del producto utilizado en versiones anteriores.

    La investigación de Cybereason también indica que los operadores de botnets están motivados financieramente y probablemente no estén patrocinados por un estado-nación.

    "Como se observó en los recientes ataques de Prometei, los actores de amenazas aprovecharon la ola de vulnerabilidades de Microsoft Exchange descubiertas recientemente y las explotaron para penetrar en redes específicas", agregó el equipo Cybereason Nocturnus.

    "Esta amenaza representa un gran riesgo para las organizaciones, ya que los atacantes tienen control absoluto sobre las máquinas infectadas y, si lo desean, pueden robar información, infectar terminales con otro malware o incluso colaborar con grupos de ransomware vendiendo acceso a terminales infectados".

    Más del 90% de los servidores Exchange vulnerables ahora tienen parches

    La CVE-2021-27065 es CVE-2021-26858 varios grupos de hackers respaldados por China y otros grupos de hackers también han abusado de las fallas explotadas por Prometei para distribuir shells web, ransomware [1, 2]y malware de criptominería.

    Según las estadísticas compartidas por Microsoft el mes pasado, aproximadamente el 92% de todos los servidores de Exchange locales conectados a Internet afectados por estas vulnerabilidades ahora están parcheados y a salvo de ataques.

    Redmond también ha lanzado una herramienta de mitigación local de Exchange (EOMT) con un solo clic para ayudar a los propietarios de pequeñas empresas a mitigar rápidamente los errores de seguridad incluso sin la ayuda de un equipo de seguridad dedicado.

    Además de eso, Microsoft Defender Antivirus protege automáticamente los servidores Exchange sin parches de los ataques en curso al mitigar automáticamente las vulnerabilidades.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir