Microsoft Exchange: attacco cryptominer con botnet

Microsoft Exchange: attacco cryptominer con botnet

La botnet Prometei è stata aggiornata per sfruttare le vulnerabilità di Microsoft Exchange e installare cryptominer Monero sui server non protetti.
La botnet Prometei è stata aggiornata per sfruttare le vulnerabilità di Microsoft Exchange e installare cryptominer Monero sui server non protetti.

Microsoft ha comunicato che circa il 92% dei server Exchange sono al sicuro dopo aver installato le patch per le note vulnerabilità ProxyLogon, ma gli attacchi non sono certamente finiti. Uno dei più recenti è stato attuato dalla botnet Prometei che cerca di sfruttare i computer per generare criptovalute.

Prometei: botnet di cryptominer per Exchange

La botnet è operativa dal 2016. Recentemente è stata aggiornata con funzionalità di backdoor, in modo da sfruttare le vulnerabilità di Microsoft Exchange. Il principale obiettivo di Prometei è installare un cryptominer di Monero e quindi utilizzare le risorse (CPU in particolare) dei server per generare monete digitali. Ciò avviene tramite diverse varie tecniche e tool che consentono la diffusione del malware attraverso la rete, tra cui exploit EternalBlue e BlueKeep, furto di credenziali, exploit SMB e RDP.

Le funzionalità di backdoor permettono alla botnet di cercare e rubare informazioni sensibili, oltre che eseguire una serie di comandi. Prometei può rilevare il sistema operativo e attivare moduli specifici per Windows e Linux. I gestori della botnet sono sicuramente russi finanziariamente motivati (qualcuno li finanzia, ma stavolta non c'entra il governo). La botnet è difficile da smantellare perché è basata su un'infrastruttura piuttosto resiliente (almeno quattro server di command&control).

Prometei rappresenta un grave pericolo per la sicurezza aziendale. È quindi necessario installare con urgenza tutte le patch rilasciate da Microsoft per Exchange Server.

Link copiato negli appunti

Ti potrebbe interessare

23 04 2021
Link copiato negli appunti