Nu jaagt dit botnet op ongepatchte Microsoft Exchange-servers

Cybercriminelen proberen kwetsbaarheden in Microsoft Exchange-servers te gebruiken om hun botnet uit te breiden voor het minen van cryptocurrency, maar het toegangsniveau dat ze verkrijgen betekent dat ze hun toegang kunnen gebruiken voor andere, veel gevaarlijkere cyberaanvallen.

Gedetailleerd door cybersecurity-onderzoekers bij Cybereasonis het Prometei-botnet een wijdverbreide wereldwijde campagne die zich richt op organisaties in een aanval in meerdere fasen.

De cybercriminelen achter het botnet maken misbruik kwetsbaarheden in Microsoft Exchange Server als middel om netwerken binnen te dringen. Er zijn bestaande beveiligingsupdates, die kunnen worden geïnstalleerd ter bescherming tegen aanvallen, maar Prometei scant het internet af naar organisaties die de patch nog moeten toepassen en gebruikt dat om voet aan de grond te krijgen op netwerken.

ZIEN: Netwerkbeveiligingsbeleid (TechRepublic-premium)

Prometei richt zich niet specifiek op een organisatie; de aanvallers zijn alleen op zoek naar kwetsbare netwerken die ze kunnen exploiteren. Volgens onderzoekers heeft het botnet slachtoffers gemaakt in meerdere sectoren in onder meer Noord-Amerika, Zuid-Amerika, Europa en Oost-Azië.

Het belangrijkste doel van de aanvallers is installeren cryptojacking-malware om te minen voor Monero – waardoor de criminelen in het geheim de verwerkingskracht van geïnfecteerde apparaten kunnen gebruiken om hun zakken te vullen met cryptocurrency.

Prometei maakt gebruik van de kwetsbaarheden in Microsoft Exchange-servers om initiële toegang tot het netwerk te krijgen en probeert zoveel mogelijk eindpunten te infecteren – met behulp van een verscheidenheid aan bekende aanvalstechnieken om zich lateraal rond netwerken te verplaatsen.

Deze omvatten het verzamelen van inloggegevens, het exploiteren van RDP-kwetsbaarheden en zelfs het gebruik van oudere exploits inclusief EternalBlue en BlueKeep om zich door netwerken te verplaatsen en de verkenningen uit te voeren die nodig zijn om zoveel mogelijk machines in gevaar te brengen.

Net als de kwetsbaarheden in Microsoft Exchange Server hebben EternalBlue en BlueKeep patches ontvangen, maar de aanvallers kunnen organisaties misbruiken die deze niet op hun netwerk hebben toegepast.

“Helaas staat het beschikbaar hebben van een patch niet gelijk aan een snelle implementatie van de patch, zoals we in het verleden herhaaldelijk hebben gezien. Jaren nadat de EternalBlue-exploit uitlekte en er patches beschikbaar waren, bleven we bijvoorbeeld aanvallers misbruik zien maken van deze kwetsbaarheid”, vertelde Assaf Dahan, hoofd van het dreigingsonderzoek bij Cybereason, aan ZDNet.

Degenen achter Prometei lijken persistentie op de lange termijn op het netwerk te willen bereiken en dat doen ze door gebruik te maken van technieken die daarmee verband houden geavanceerde cybercriminele operaties en zelfs nationale hackgroepen.

Voorlopig richt Prometei zich in ieder geval op het delven van cryptocurrency.

“Hoe langer ze onopgemerkt op het netwerk kunnen blijven, hoe meer cryptocurrency er wordt gedolven. Daarom hebben ze de veerkracht van het botnet verbeterd, stealth-functies aan de malware toegevoegd en technieken en tools gebruikt die vaak in verband worden gebracht met Advanced Persistent Threats”, aldus Dahan.

“Als ze dat willen, kunnen de aanvallers de gecompromitteerde eindpunten ook infecteren met andere malware en samenwerken met ransomware-bendes om toegang tot de eindpunten te verkopen”, voegde hij eraan toe.

Er is niet veel bekend over de cybercriminele operatie achter Prometei, maar volgens Cybereason suggereert analyse van de activiteiten van de groep dat deze Russisch spreekt – en het lijkt erop dat de groep actief probeert te voorkomen dat doelen in Rusland worden geïnfecteerd.

ZIEN: Hackers richten zich actief op gebreken in deze VPN-apparaten. Hier is wat u moet doen

De naam van het botnet “Prometei” is ook het Russische woord voor Prometheus, de titanengod voor vuur in de Griekse mythologie.

Er wordt nog steeds aangenomen dat Prometei actief scant op nieuwe doelwitten om te infecteren – en de beste manier om te voorkomen dat je slachtoffer wordt, is door de cruciale beveiligingsupdates voor Microsoft Exchange Server toe te passen.

“Organisaties moeten eerst en vooral streven naar een goede patchbeheerprocedure en potentieel kwetsbare systemen patchen”, aldus Dahan.

“Maar het allerbelangrijkste is dat IT- en beveiligingsteams proactief moeten zijn en voortdurend op zoek moeten gaan naar bekende bedreigingen”, concludeerde hij.

MEER OVER CYBERBEVEILIGING

Coinsmart. Beste Bitcoin-beurs in Europa
Bron: https://www.zdnet.com/article/now-this-botnet-is-hunting-for-unpatched-microsoft-exchange-servers/#ftag=RSSbaffb68

Generatieve data-intelligentie

Nu is dit botnet op jacht naar niet-gepatchte Microsoft Exchange-servers

MEER OVER CYBERBEVEILIGING

Homepagina - Crowdfund Suite

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Laatste intelligentie

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog

Drake bedreigd met rechtszaak over Tupac AI-zang

Exclusieve Trump Bitcoin NFT's met aangepaste rangtelwoorden voor kopers van 'Mugshot Edition' - CryptoInfoNet

Bedrijf biedt digitale financiële geletterdheidstraining voor Nigerianen - CryptoInfoNet

BDAG leidt de top 5 van veelbelovende crypto-voorverkoop van 2024

Hoe u het marktsentiment kunt beoordelen voordat u cryptocurrency koopt