Cybereason ha anunciado el descubrimiento de una nueva campaña de botnet altamente dirigida, que utiliza el botnet Prometei, sigiloso y omnipresente, para atacar a empresas de todo el mundo.

El actor de la amenaza, de habla rusa, está aprovechando las vulnerabilidades de Microsoft Exchange para penetrar en redes aleatorias. Esta amenaza está provocando grandes pérdidas financieras y de datos para las empresas.

“La red de bots Prometei supone un gran riesgo para las empresas porque no se ha informado lo suficiente de la misma. Cuando los atacantes toman el control de las máquinas infectadas, no solo son capaces de robar bitcoins, sino también información sensible”, explica Assaf Dahan, director senior y jefe de investigación de amenazas de Cybereason.

Datos extraídos de la nueva campaña de botnet que emplea Prometei

Estas son las principales conclusiones de la investigación de Cybereason:

  • Amplio espectro de víctimas. Se han observado víctimas en una gran variedad de sectores, entre ellos: finanzas, seguros, comercio minorista, industria, utilities, viajes y construcción. Las empresas infectadas se encuentran en países de todo el mundo, como Estados Unidos, Reino Unido, Alemania, Francia, España, Italia y otros países europeos, Sudamérica y Asia oriental.
  • Responsable de la amenaza de habla rusa. El actor de la amenaza parece ser de habla rusa y evita a propósito las infecciones en los países del antiguo bloque soviético.
  • Aprovechamiento de las vulnerabilidades de SMB y RDP. El objetivo principal de Prometei es instalar el minero de criptomonedas Monero en los puntos finales de las empresas. Para propagarse por las redes, el actor de la amenaza está utilizando vulnerabilidades conocidas de Microsoft Exchange, además de los conocidos exploits EternalBlue y BlueKeep.

La nueva campaña de botnet que usa Prometei, está aprovechando las vulnerabilidades de Microsoft Exchange para penetrar en redes aleatorias

  • Amenaza multiplataforma. Prometei tiene versiones basadas en Windows y en Linux-Unix, y ajusta su carga útil en función del sistema operativo detectado en las máquinas infectadas objetivo cuando se propaga a través de la red.
  • Cibercrimen APT con motivación financiera. Cybereason considera que el operador de la red de bots Prometei tiene una motivación financiera y espera ganar fuertes sumas de bitcoins, pero no está respaldado por un estado nacional. El atacante persigue mantener el control de la infraestructura de la víctima de forma continuada.
  • Infraestructura C2 resistente. La red Prometei está diseñada para interactuar con cuatro servidores de comando y control (C2) diferentes, lo que refuerza la infraestructura de la botnet y mantiene comunicaciones continuas, haciéndola más resistente a los derribos.
>