Nova botnet explora vulnerabilidades do Windows SMB

Da Redação
26/07/2020

Uma botnet (rede de robô) que ainda não havia sido detectada, chamada “Prometei”, tem como alvo dispositivos Windows vulneráveis, se aproveitando de brechas no protocolo Windows Server Message Block (SMB) para minerar criptomoedas, de acordo com a Cisco Talos, equipe de inteligência contra ameaças da fornecedora de dispositivos de redes.

Vários milhares de dispositivos foram infectados desde que a botnet apareceu em março. Entretanto, em quatro meses de operação, o lucro gerado pela botnet foi de menos de US$ 5 mil, disseram os pesquisadores da Cisco Talos em um novo relatório.

“A botnet estava ativa no início de março, mas parece ter sido afetada pela encampação de um de seus servidores [de comando e controle] em 8 de junho”, observa o pesquisador Vanja Svajcer. “Mas essa tomada do servidor não interrompeu suas capacidades de mineração ou a validação de credenciais roubadas. A rede de bots continua a ter um lucro moderado para um único operador, provavelmente sediado no Leste Europeu”.

O pesquisador observa que, se o operador lucrar cerca de US$ 1.250 por mês com a botnet, terá um “salário” médio mensal maior que em muitos países do Leste Europeu.

Além da criptografia, os pesquisadores descobriram que a botnet é capaz de roubar credenciais administrativas e está estruturada com técnicas avançadas de evasão de segurança.

Veja isso
Falha no servidor DNS do Windows põe em risco segurança da TI
Windows e Linux são alvos do ransomware Tycoon

Explorando brechas do SMB

Os ataques da Prometei começam com a exploração do protocolo Windows Server Message Block (SMB), por meio da vulnerabilidade EternalBlue. Os hackers usam senhas recuperadas do Mimikatz, um aplicativo de autenticação de credenciais de código aberto, de acordo com o relatório.

Para se espalhar lateralmente pelo protocolo SMB, os pesquisadores da Cisco dizem que os operadores da botnet usam o módulo espalhador RdpcIip.exe. “O espalhador tenta estabelecer e autenticar uma sessão SMB usando credenciais roubadas ou uma conta de convidado sem uma senha e copiando o módulo bot principal como xsvc.exe ou zsvc.exe no sistema de destino”, detalha o relatório.

Se for bem-sucedido, o espalhador usará aplicativos do Windows, como a ferramenta de linha de comando PsExec ou o Windows Management Instrumentation, para iniciar remotamente a botnet. Se a tentativa do espalhador não der certo, os hackers lançam a botnet usando variantes da exploração Eternal Blue, dizem os pesquisadores.

A Prometei não é a primeira botnet de criptografia a explorar a vulnerabilidade Eternal Blue. Em junho, pesquisadores descobriram outra botnet chamada Kingminer que tinha como alvo o SQL Server, explorando as vulnerabilidades EternalBlue e BlueKeep.

Lançamento do criptominerador

Depois que os hackers invadem o sistema com força bruta, a botnet inicia sua operação. Seu módulo principal usa uma estrutura .NET escrita em C # que lida com roubo de credenciais, exploração do SMB e faz ocultação. Um módulo secundário codificado em C ++ cuida da mineração de criptomoedas, de acordo com o relatório.

“A ramificação principal também possui módulos auxiliares com capacidade de comunicação por meio de proxy de comunicações em redes Tor ou I2P, coletando informações sobre processos em execução no sistema, verificando portas abertas nos sistemas de destino e rastreando os sistemas de arquivos em busca de nomes de arquivos dados como argumento para o módulo, normalmente carteiras de criptomoeda de bitcoin”, observa o relatório. Na fase final do ataque, a botnet implanta o software de mineração XMRig – Monero.

Compartilhar: