Botnet-Angriff, der Schwachstellen in Microsoft Exchange ausnutzt

Quelle: monticello / Shutterstock.com

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine neue, besonders zielgerichtete Botnet-Kampagne aufgedeckt. Das besonders widerstandsfähige Prometei-Botnet richtet sich gegen Unternehmen weltweit.

Ziel des mehrgleisig ablaufenden Angriffs ist es, Bitcoins und Daten aus Unternehmensnetzen zu stehlen. Der russischsprachige Angreifer macht sich Schwachstellen in Microsoft Exchange zunutze, um in beliebige Netzwerke einzudringen. Die Bedrohung hat sehr wahrscheinlich schon zu hohen finanziellen Verlusten und Datendiebstahl in großem Stil geführt. 

Anzeige

Prometei zeichnet sich durch eine vielgestaltige Infrastruktur aus. Die sorgt dafür, dass die infizierten Rechner auch über einen längeren Zeitraum als Teil des Botnetzes Bestand haben. Im Laufe der Jahre haben die Behörden bereits verschiedene Prometei-C2-Server vom Netz genommen, was die Aktivitäten der Angreifer allerdings nicht beeinträchtigte. Obwohl Prometei offiziell erst Mitte 2020 entdeckt wurde, fand das Cybereason Nocturnus Team Hinweise darauf, dass die Malware möglicherweise bereits auf das Jahr 2016 zurückgeht. Also schon ein Jahr vor den inzwischen berüchtigten Malware-Angriffen WannaCry und NotPetya. Angriffe, von denen über 200 verschiedene Länder betroffen waren und die Schäden in Milliardenhöhe verursachten. Prometei hat sich währenddessen kontinuierlich weiterentwickelt, und es konnten stetig neue Funktionalitäten und Tools beobachtet werden. 

Große Risiken für Unternehmen

Assaf Dahan, Senior Director, Head of Threat Research bei Cybereason dazu: “Das Prometei Botnet birgt für Unternehmen große Risiken, auch, weil bisher nicht viel darüber berichtet wurde. Wenn es den Angreifern gelungen ist, die Kontrolle über die infizierten Systeme zu übernehmen, können sie nämlich nicht nur Bitcoins, sondern auch Informationen stehlen. Und wenn ihnen der Sinn danach steht, haben die Angreifer die Möglichkeit, weitere Endpunkte mit der Malware zu infizieren oder auch mit Ransomware-Banden zu kooperieren und Zugriffsrechte zu diesen Endpunkten gewinnbringend an den Mann zu bringen. Was das Ganze noch schlimmer macht: Das Kryptomining kann am Ende sogar so ressourcenintensiv werden, dass es die Leistungsfähigkeit und Stabilität kritischer Server und Endpunkte beeinträchtigt. Und das wiederum gefährdet potenziell die Kontinuität geschäftlicher Prozesse“. 

Einige der wichtigsten Ergebnisse auf einen Blick: 

  • Breites Spektrum von Opfern: Prometei ist bereits in einer Vielzahl von Branchen aktiv, darunter: Finanz- und Versicherungswesen, Einzelhandel, Fertigung, Versorgungsunternehmen, Touristik und Bauwesen. Betroffen davon sind Unternehmen in den USA, Großbritannien und vielen weiteren europäischen Ländern ebenso wie Länder in Südamerika und Ostasien.
  • Russischsprachiger Angreifer: Der Angreifer scheint russischsprachig zu sein und vermeidet es ganz offensichtlich, Ziele in den Ländern des ehemaligen Ostblocks zu infizieren.
  • Ausnutzung von SMB- und RDP-Schwachstellen: Das primäre Ziel von Prometei ist es, die Monero-Miner-Komponente auf so vielen Endpunkten wie möglich zu installieren. Dazu muss sich Prometei weit im Netzwerk verbreiten. Um dies zu erreichen, nutzt der Angreifer Microsoft Exchange Schwachstellen in Kombination mit bekannten Exploits wie EternalBlue und BlueKeep. 
  • Plattformübergreifende Bedrohung: Prometei tritt sowohl in Windows- als auch Linux-Unix-basierten Versionen auf und passt die Payload (Nutzlast) entsprechend dem jeweils erkanntem Betriebssystem auf den infizierten Zielrechnern an.
  • Cyberkriminalität mit APT-Note: Cybereason geht davon aus, dass die Betreiber des Prometei Botnet primär finanziell motiviert sind und es ihnen vor allem um große Summen an Bitcoins geht. Es deutet aber nichts auf eine staatlich unterstützte Malware-Kampagne hin. 
  • Widerstandsfähige C2-Infrastruktur: Prometei agiert mit vier unterschiedlichen Command-and-Control-Servern (C2). Das macht die Infrastruktur des Botnets ausgesprochen widerstandsfähig gegen Takedowns und erlaubt es, die Kommunikation kontinuierlich aufrechtzuerhalten.

https://www.cybereason.com/

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.