Anzeige

Microsoft Exchange

Quelle: monticello / Shutterstock.com

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine neue, besonders zielgerichtete Botnet-Kampagne aufgedeckt. Das besonders widerstandsfähige Prometei-Botnet richtet sich gegen Unternehmen weltweit.

Ziel des mehrgleisig ablaufenden Angriffs ist es, Bitcoins und Daten aus Unternehmensnetzen zu stehlen. Der russischsprachige Angreifer macht sich Schwachstellen in Microsoft Exchange zunutze, um in beliebige Netzwerke einzudringen. Die Bedrohung hat sehr wahrscheinlich schon zu hohen finanziellen Verlusten und Datendiebstahl in großem Stil geführt. 

Prometei zeichnet sich durch eine vielgestaltige Infrastruktur aus. Die sorgt dafür, dass die infizierten Rechner auch über einen längeren Zeitraum als Teil des Botnetzes Bestand haben. Im Laufe der Jahre haben die Behörden bereits verschiedene Prometei-C2-Server vom Netz genommen, was die Aktivitäten der Angreifer allerdings nicht beeinträchtigte. Obwohl Prometei offiziell erst Mitte 2020 entdeckt wurde, fand das Cybereason Nocturnus Team Hinweise darauf, dass die Malware möglicherweise bereits auf das Jahr 2016 zurückgeht. Also schon ein Jahr vor den inzwischen berüchtigten Malware-Angriffen WannaCry und NotPetya. Angriffe, von denen über 200 verschiedene Länder betroffen waren und die Schäden in Milliardenhöhe verursachten. Prometei hat sich währenddessen kontinuierlich weiterentwickelt, und es konnten stetig neue Funktionalitäten und Tools beobachtet werden. 

Große Risiken für Unternehmen

Assaf Dahan, Senior Director, Head of Threat Research bei Cybereason dazu: “Das Prometei Botnet birgt für Unternehmen große Risiken, auch, weil bisher nicht viel darüber berichtet wurde. Wenn es den Angreifern gelungen ist, die Kontrolle über die infizierten Systeme zu übernehmen, können sie nämlich nicht nur Bitcoins, sondern auch Informationen stehlen. Und wenn ihnen der Sinn danach steht, haben die Angreifer die Möglichkeit, weitere Endpunkte mit der Malware zu infizieren oder auch mit Ransomware-Banden zu kooperieren und Zugriffsrechte zu diesen Endpunkten gewinnbringend an den Mann zu bringen. Was das Ganze noch schlimmer macht: Das Kryptomining kann am Ende sogar so ressourcenintensiv werden, dass es die Leistungsfähigkeit und Stabilität kritischer Server und Endpunkte beeinträchtigt. Und das wiederum gefährdet potenziell die Kontinuität geschäftlicher Prozesse“. 

Einige der wichtigsten Ergebnisse auf einen Blick: 

  • Breites Spektrum von Opfern: Prometei ist bereits in einer Vielzahl von Branchen aktiv, darunter: Finanz- und Versicherungswesen, Einzelhandel, Fertigung, Versorgungsunternehmen, Touristik und Bauwesen. Betroffen davon sind Unternehmen in den USA, Großbritannien und vielen weiteren europäischen Ländern ebenso wie Länder in Südamerika und Ostasien.
  • Russischsprachiger Angreifer: Der Angreifer scheint russischsprachig zu sein und vermeidet es ganz offensichtlich, Ziele in den Ländern des ehemaligen Ostblocks zu infizieren.
  • Ausnutzung von SMB- und RDP-Schwachstellen: Das primäre Ziel von Prometei ist es, die Monero-Miner-Komponente auf so vielen Endpunkten wie möglich zu installieren. Dazu muss sich Prometei weit im Netzwerk verbreiten. Um dies zu erreichen, nutzt der Angreifer Microsoft Exchange Schwachstellen in Kombination mit bekannten Exploits wie EternalBlue und BlueKeep. 
  • Plattformübergreifende Bedrohung: Prometei tritt sowohl in Windows- als auch Linux-Unix-basierten Versionen auf und passt die Payload (Nutzlast) entsprechend dem jeweils erkanntem Betriebssystem auf den infizierten Zielrechnern an.
  • Cyberkriminalität mit APT-Note: Cybereason geht davon aus, dass die Betreiber des Prometei Botnet primär finanziell motiviert sind und es ihnen vor allem um große Summen an Bitcoins geht. Es deutet aber nichts auf eine staatlich unterstützte Malware-Kampagne hin. 
  • Widerstandsfähige C2-Infrastruktur: Prometei agiert mit vier unterschiedlichen Command-and-Control-Servern (C2). Das macht die Infrastruktur des Botnets ausgesprochen widerstandsfähig gegen Takedowns und erlaubt es, die Kommunikation kontinuierlich aufrechtzuerhalten.

https://www.cybereason.com/


Artikel zu diesem Thema

Hacker Bitcoin
Apr 23, 2021

Bitcoin-Betrüger suchen Opfer bei Facebook und Tinder

Die Berliner Polizei hat dringend vor betrügerischen Angeboten zur Geldanlage über das…
Malware
Apr 14, 2021

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die…
Hacked
Apr 10, 2021

Microsoft Exchange-Server-Hack: Beispiellose Angriffswelle auf ungepatchte Server

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier…

Weitere Artikel

TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?
Identität

Rootkits: neuer Trend bedroht Online-Gamer

Die Experten der Bitdefender-Labs haben mit FiveSys ein neues Rootkit identifiziert, welches eine eigene, von Microsoft ausgegebene und gültige digitale Signatur verwendet, anstatt gestohlene Signaturen zu missbrauchen.
Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.