Ботнет Prometei атакует необновленные серверы Exchange с целью майнинга криптовалют, но это наименьшая проблема, которую он может создавать своим жертвам, предупреждают эксперты.
Атака ПК под Windows и Linux
Крупный ботнет Prometei начал атаковать уязвимые серверы Microsoft Exchange с целью генерации криптовалют и распространения шифровальщиков.
Ботнет был впервые описан в 2020 г.: его заметили в силу того, что он тогда начал использовать печально знаменитый эксплойт EternalBlue для распространения на компьютерах под управлением Windows. Но он также может атаковать и системы под Linux.
По мнению экспертов компании Cybereason, ботнет существует, самое позднее, с 2016 г. Именно тогда первые его сэмплы стали появляться на VirusTotal. Его операторы, по-видимому, адаптируют его функциональность при каждой удобной возможности.
Сейчас в тренде уязвимости в Microsoft Exchange, и Prometei активно использует их для установки криптомайнеров. Он также пытается распространяться по локальной сети, используя эксплойты EternalBlue и BlueKeep, а также перехваченные реквизиты доступа и модули распространения через SSH и SQL.
Кроме того, вредонос пытается красть данные и устанавливать бэкдоры для будущей загрузки и запуска новых вредоносных программ или выполнения команд, заданных операторами. По мнению Cybereason, добыча криптовалют на зараженном сервере — это наименьшая из всех проблем, которые Prometei может доставить жертвам.
Русскоязычные, финансово мотивированные операторы
Эксперты предполагают, что операторы ботнета являются русскоязычными. Об этом свидетельствует ряд языковых артефактов в коде. В Cybereason считают, что никакой мотивации кроме финансовой у операторов этого ботнета нет.
«О финансовой подоплеке здесь свидетельствует и изобилие инструментов для заражения, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Обычно именно финансово-мотивированные кибергруппировки создают такие универсальные “швейцарские ножи”, используя любые известные уязвимости и эксплойты, в то время как условные киберразведчики скорее будут использовать более узконаправленный арсенал».
Prometei атакует две уязвимости под индексами CVE-2021-27065 и CVE-2021-26858. В атаках на них были также замечены несколько других кибергруппировок, в том числе связанные с китайскими властями. В основном эти баги использовались для установки криптомайнеров и веб-шеллов, а также распространения шифровальщиков.
В марте Microsoft объявила, что около 92% доступных из интернета локальных серверов Exchange получили обновления от этих уязвимостей. Сейчас данный процент может быть еще выше, однако в абсолютных значениях уязвимыми остается довольно большое количество серверов.
Microsoft выпустила не только обновления к этим уязвимостям, но и инструмент для быстрой их установки, не требующий участия технических специалистов. Защитные меры против эксплойтов для Exchange также реализованы на уровне штатного антивируса Windows Defender.