Prometei, un nou botnet care minează criptomonedă

Prometei folosește un sistem modular și o varietate amplă de metode cu scopul de a compromite sistemele targetate, a-și ascunde prezența și, totodată, de a mina criptomonedă pe calculatoarele infectate.

image

Cercetătorii din cadrul companiei de securitate cibernetică Cisco Talos au raportat un nou botnet care folosește protocolul Microsoft Windows SMB pentru a-și distribui script de minare a criptomonedei Monero în rețele corporative.

Botnetul Prometei și-a început activitatea în martie 2020 și a atras atenția experților, deoarece folosește un sistem modular și metode sofisticate pentru a compromite sistemele, a-și ascunde prezența și a mina criptomoneda Monero (XMR).

Botnetul Prometei

Atacul începe prin compromiterea protocolul SMB (Windows Server Message Block) prin exploatarea unor vulnerabilități precum Eternal Blue. Folosind instrumentul Mimikatz și atacuri de tip brutforce, atacatorii identifică conturile din rețeaua corporativă vizată, care sunt apoi trimise serverului C&C pentru reutilizare pe module concepute pentru a verifica validitatea parolelor pe sisteme care utilizează protocoale SMB și RDP. În total, botnetul are peste 15 module executabile controlate de modulul principal. Prometei este format din două părți, cea principală, în C ++, responsabilă pentru minarea criptomonedei și a doua, bazată pe .NET, care se ocupă de deturnarea credențialelor, exploatarea protocolului SMB și confuzionare (obfuscation).

Potrivit Cisco Talos, botnetul este format în prezent din aproximativ 100 de dispozitive infectate.

Calculator Monero care arată profitul botnetului.

In medie, Prometei le aduce operatorilor săi circa 1300 de dolari pe lună. “Deși este o sumă relativ mică, aceasta depășește salariul mediu din multe țări din Europa de Est”, au apreciat cercetătorii, făcând trimitere la zona din care ar proveni operatorii botnetului Prometei.

Sistemele infectate, conectate la serverul C&C al acestui botnet, sunt situate în Brazilia, SUA, Turcia, China și Mexic.

Unul dintre aceste servere a fost confiscat în luna iunie a.c., dar se pare că acest lucru nu a afectat în niciun fel operațiunile de mining ilegal.

Botnetul reprezintă o rețea de calculatoare care se interconectează după ce au fost infectate cu cod malițios. Rețelele botnet funcționează ca infrastructură de bază pentru criminalitatea cibernetică și reprezintă una din cele mai mari surse ilegale de venit din Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *