Opgepast voor Prometei, want dit botnet is uit op de cryptovaluta monero. Prometei weet zich volgens onderzoekers van Cisco Talos met brute kracht in allerlei toestellen te nestelen, om vervolgens voor de operators achter het botnet monero (XRM) te minen.
Sinds maart krioelt Prometei rond en het gebruikt een mix van gestolen inloggegevens, binaries (zoals PsExec en WMI) en SMB-exploits om zichzelf razendsnel toegang te geven tot een groot aantal toestellen. Eén basismodule bevat zo’n 15 aanvalscomponenten die de data vliegensvlug versleutelen voor deze naar de C&C-server gaat. Allemaal in handen van één entiteit, zo schrijft ITProPortal.
Prometei
De grootste narigheid die Prometei echter veroorzaakt is echter dat het achter admin-wachtwoorden poogt te komen. Lukt dat, dan worden ze naar de C2-server gestuurd en gaan andere modules ze gebruiken om te kijken of ze het kunnen gebruiken om elders in het systeem door te dringen.
Als ‘kers’ op de taart installeert de botnet ook Mimikatz-malware op het netwerk. Deze malware is ontwikkeld om wachtwoorden te stelen. Lukt dat, dan wordt er een versie van de EternalBlue-exploit ingezet om die basismodule te lanceren. Die basismodule is herkenbaar aan de bestandsnaam Searchindexer.exe. Of je die echter makkelijk terugvindt is de vraag: Prometei is namelijk ook een ster in het inzetten van anti-detectie.
Monero
Monero is een cryptovaluta die is verschenen in 2014. Het doel van monero is juist om privacy hoog in het vaandel te hebben en een stevig systeem neer te zetten. Het is echter lang niet zo transparant als bitcoin, wat voor de verzender en de ontvanger in een transactie betekent dat zij anoniem kunnen blijven.
Daarnaast werkt het minen van monero heel anders dat dan van bitcoin, waardoor het iets toegankelijker is om dit op een persoonlijke computer te doen. Helaas maken hackers er in het geval van Prometei misbruik van, door ongevraagd en met grote gevolgen te minen op veel verschillende apparaten die niet van hen zijn.
3 uur geleden
