Organizacja Cybereason ogłosiła odkrycie szeroko zakrojonej, globalnej kampanii botnetu Prometei. Jej celem są rozbudowane organizacje, gdzie po wieloetapowym ataku ładunek zaszyty w środowisku służy do kradzieży mocy obliczeniowej i wydobywania krytpowalut. Grupa stojąca za atakami, która wydaję się być rosyjskojęzyczna, wykorzystuje ujawnione wcześniej luki w Microsoft Exchange wykorzystywane w atakach grupy Hafnium do penetracji sieci.

O samym botnecie Prometei pisaliśmy już w lipcu 2020 roku. Wtedy został po raz pierwszy zauważony w sieci. Ma złożoną infrastrukturę zaprojektowaną w celu „utwardzenia” na zainfekowanych maszynach. Cybereason szacuje, że działalność botnetu faktycznie sięga co najmniej 2016r, czyli rok przed atakami złośliwego oprogramowania WannaCry i NotPetya. Prometei nadal ewoluuje, regularnie dodając nowe boty, nowe funkcje i innowacyjne narzędzia ataku.

Botnet Prometei stwarza duże ryzyko dla firm, ponieważ jego aktywność w ostatnim czasie była lekceważona i pomijana w raportach. Kiedy operatorzy botnetu przejmują kontrolę nad zainfekowanymi maszynami, są w stanie nie tylko wydobywać bitcoiny poprzez kradzież mocy obliczeniowej, ale także mogą wydobywać poufne informacje. Jeśli chcą, to mogą również zainfekować punkty końcowe zarażone już innym złośliwym oprogramowaniem i współpracować z gangami ransomware w celu sprzedaży dostępu do punktów końcowych. Co gorsza, wydobywanie kryptowalut wyczerpuje cenną moc obliczeniową sieci, negatywnie wpływając na operacje biznesowe oraz wydajność i stabilność krytycznych serwerów. Jest to zdecydowanie szerokie spektrum zagrożeń.

Badania przeprowadzone nad Prometei przez Cybereason doprowadziły do następujących, wniosków:

  • Szeroka gama ofiar: Ofiary obserwowano w różnych branżach, w tym w finansach, ubezpieczeniach, handlu detalicznym, produkcji, usługach komunalnych, podróżach i budownictwie. Zainfekowane firmy mają siedziby w krajach na całym świecie, w tym w Stanach Zjednoczonych, Wielkiej Brytanii, Niemczech, Francji, Hiszpanii, Włoszech i innych krajach europejskich, Ameryce Południowej i Azji Wschodniej.
  • Aktor mówiący po rosyjsku: Cyberprzestępca komunikujący się czasem z ofiarami wydaje się mówić po rosyjsku i celowo unika infekcji w krajach byłego bloku wschodniego.
  • Wykorzystywanie luk w zabezpieczeniach SMB i RDP: Głównym celem Prometei jest zainstalowanie koparki kryptowaluty Monero na korporacyjnych punktach końcowych. Aby rozprzestrzeniać się w sieci, hacker wykorzystuje znane luki w oprogramowaniu Microsoft Exchange, ale też znane exploity EternalBlue i BlueKeep.
  • Zagrożenie międzyplatformowe: Prometei posiada wersje oparte na systemie Windows i Linux-Unix przez co dostosowuje swój ładunek w oparciu o wykryty system operacyjny na docelowych maszynach podczas rozprzestrzeniania się w sieci.
  • Cyberprzestępczość APT: Cybereason ocenia, że operatorzy botnetu Prometei są zmotywowani finansowo i zamierzają wygenerować ogromne sumy w kryptowalucie, ale prawdopodobnie nie są wspierani przez żadne państwo.
  • Odporna infrastruktura C2: Prometei jest zaprojektowany do interakcji z czterema różnymi serwerami C2, co wzmacnia infrastrukturę botnetu i utrzymuje ciągłą komunikację, czyniąc go bardziej odpornym na usunięcie.

Zaleceniami dla rozległych organizacji o potężnej infrastrukturze sprzętowej jest na pewno sprawdzenie podatności na luki w MS Exchange, a także EternalBlue i BlueKeep. Botnet Prometei automatycznie sprawdza podatności w infrastrukturze i błyskawicznie przemieszcza się pod sieci infekując kolejne punkty końcowe, a także serwery.

Jeśli chcecie się dowiedzieć o samym technicznym działaniu botnetu zapraszamy do naszego wcześniejszego artykułu.

Podziel się z innymi tym artykułem!