Anzeige

Microsoft Exchange

Quelle: monticello / Shutterstock.com

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine neue, besonders zielgerichtete Botnet-Kampagne aufgedeckt. Das besonders widerstandsfähige Prometei-Botnet richtet sich gegen Unternehmen weltweit.

Ziel des mehrgleisig ablaufenden Angriffs ist es, Bitcoins und Daten aus Unternehmensnetzen zu stehlen. Der russischsprachige Angreifer macht sich Schwachstellen in Microsoft Exchange zunutze, um in beliebige Netzwerke einzudringen. Die Bedrohung hat sehr wahrscheinlich schon zu hohen finanziellen Verlusten und Datendiebstahl in großem Stil geführt. 

Prometei zeichnet sich durch eine vielgestaltige Infrastruktur aus. Die sorgt dafür, dass die infizierten Rechner auch über einen längeren Zeitraum als Teil des Botnetzes Bestand haben. Im Laufe der Jahre haben die Behörden bereits verschiedene Prometei-C2-Server vom Netz genommen, was die Aktivitäten der Angreifer allerdings nicht beeinträchtigte. Obwohl Prometei offiziell erst Mitte 2020 entdeckt wurde, fand das Cybereason Nocturnus Team Hinweise darauf, dass die Malware möglicherweise bereits auf das Jahr 2016 zurückgeht. Also schon ein Jahr vor den inzwischen berüchtigten Malware-Angriffen WannaCry und NotPetya. Angriffe, von denen über 200 verschiedene Länder betroffen waren und die Schäden in Milliardenhöhe verursachten. Prometei hat sich währenddessen kontinuierlich weiterentwickelt, und es konnten stetig neue Funktionalitäten und Tools beobachtet werden. 

Große Risiken für Unternehmen

Assaf Dahan, Senior Director, Head of Threat Research bei Cybereason dazu: “Das Prometei Botnet birgt für Unternehmen große Risiken, auch, weil bisher nicht viel darüber berichtet wurde. Wenn es den Angreifern gelungen ist, die Kontrolle über die infizierten Systeme zu übernehmen, können sie nämlich nicht nur Bitcoins, sondern auch Informationen stehlen. Und wenn ihnen der Sinn danach steht, haben die Angreifer die Möglichkeit, weitere Endpunkte mit der Malware zu infizieren oder auch mit Ransomware-Banden zu kooperieren und Zugriffsrechte zu diesen Endpunkten gewinnbringend an den Mann zu bringen. Was das Ganze noch schlimmer macht: Das Kryptomining kann am Ende sogar so ressourcenintensiv werden, dass es die Leistungsfähigkeit und Stabilität kritischer Server und Endpunkte beeinträchtigt. Und das wiederum gefährdet potenziell die Kontinuität geschäftlicher Prozesse“. 

Einige der wichtigsten Ergebnisse auf einen Blick: 

  • Breites Spektrum von Opfern: Prometei ist bereits in einer Vielzahl von Branchen aktiv, darunter: Finanz- und Versicherungswesen, Einzelhandel, Fertigung, Versorgungsunternehmen, Touristik und Bauwesen. Betroffen davon sind Unternehmen in den USA, Großbritannien und vielen weiteren europäischen Ländern ebenso wie Länder in Südamerika und Ostasien.
  • Russischsprachiger Angreifer: Der Angreifer scheint russischsprachig zu sein und vermeidet es ganz offensichtlich, Ziele in den Ländern des ehemaligen Ostblocks zu infizieren.
  • Ausnutzung von SMB- und RDP-Schwachstellen: Das primäre Ziel von Prometei ist es, die Monero-Miner-Komponente auf so vielen Endpunkten wie möglich zu installieren. Dazu muss sich Prometei weit im Netzwerk verbreiten. Um dies zu erreichen, nutzt der Angreifer Microsoft Exchange Schwachstellen in Kombination mit bekannten Exploits wie EternalBlue und BlueKeep. 
  • Plattformübergreifende Bedrohung: Prometei tritt sowohl in Windows- als auch Linux-Unix-basierten Versionen auf und passt die Payload (Nutzlast) entsprechend dem jeweils erkanntem Betriebssystem auf den infizierten Zielrechnern an.
  • Cyberkriminalität mit APT-Note: Cybereason geht davon aus, dass die Betreiber des Prometei Botnet primär finanziell motiviert sind und es ihnen vor allem um große Summen an Bitcoins geht. Es deutet aber nichts auf eine staatlich unterstützte Malware-Kampagne hin. 
  • Widerstandsfähige C2-Infrastruktur: Prometei agiert mit vier unterschiedlichen Command-and-Control-Servern (C2). Das macht die Infrastruktur des Botnets ausgesprochen widerstandsfähig gegen Takedowns und erlaubt es, die Kommunikation kontinuierlich aufrechtzuerhalten.

https://www.cybereason.com/


Artikel zu diesem Thema

Hacker Bitcoin
Apr 23, 2021

Bitcoin-Betrüger suchen Opfer bei Facebook und Tinder

Die Berliner Polizei hat dringend vor betrügerischen Angeboten zur Geldanlage über das…
Malware
Apr 14, 2021

Malware-Angriffe: 648 neue Bedrohungen pro Minute

Für die April-Ausgabe des Quarterly Threats Reports untersuchten die McAfee Labs die…
Hacked
Apr 10, 2021

Microsoft Exchange-Server-Hack: Beispiellose Angriffswelle auf ungepatchte Server

Microsoft schloss zum 3. März 2021 mit einem außerplanmäßigen Sicherheitsupdate vier…

Weitere Artikel

Cyber Attacke

Angriffe auf KRITIS häufen sich und werden immer verheerender

Angriffe auf kritische Infrastrukturen sind nicht neu. Neu und beispiellos ist jedoch die Größenordnung und die Auswirkungen, die der jüngste Ransomware-Angriff auf ein einzelnes Unternehmen hatte, das 45% des an der Ostküste der Vereinigten Staaten…
Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.