Aktuelles, Branche - geschrieben von dp am Mittwoch, September 25, 2019 22:27 - noch keine Kommentare
Guardicore Labs: Smominru-Botnetz ist zurück
Neue Angriffswelle breitet sich weltweit aus
[datensicherheit.de, 25.09.2019] Guardicore meldet, dass das „Smominru“-Botnetz ein „unrühmliches Comeback“ feiert und aktuell 4.700 Rechner pro Tag infiziert. „Smominru” dient demnach dazu, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke beträfen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cyber-Sicherheitsanbieter seien betroffen.
Im August 2019 mehr als 4.900 Unternehmensnetze infiziert
Guardicore warnt vor einer neuen Angriffswelle durch die „Smominru“-Malware, die allein im August 2019 mehr als 4.900 Unternehmensnetze infiziert habe. Das „Smominru“-Botnetz sei bereits seit 2017 aktiv, aber breite sich aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen.
Dieses weltweite Botnetz kompromittiere „Windows“-Rechner vor allem über den „EternalBlue“-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet worden sei. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, habe sie unter anderem im Rahmen der „WannaCry“-Ransomware-Attacke 2016 großflächige Schäden angerichtet. Von den aktuellen „Smominru“-Attacken seien insbesondere China, Taiwan, Russland, Brasilien und die USA betroffen.
Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle
Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben „Zugriff auf einen der angreifenden Hauptserver verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen“.
Neben dem „EternalBlue“-Exploit nutzten die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle wie „MS-SQL“, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens „blueps.txt“ auf den betroffenen Rechner geladen, das mehrere Maßnahmen durchführe.
3 Binärdateien heruntergeladen
Im ersten Schritt würden drei Binärdateien heruntergeladen und ausgeführt, um ein administratives Benutzerkonto namens „admin$“ auf dem IT-System neu zu erstellen.
Nach dem Download zusätzlicher Skripte führten die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installierten mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.
Weitere Informationen zum Thema:
Guardicore, Ophir Harpaz and Daniel Goldberg, 18.09.2019
THE MASSIVE PROPAGATION OF THE SMOMINRU BOTNET
datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
Aktuelles, Experten, Studien - Apr 23, 2024 18:57 - noch keine Kommentare
Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
weitere Beiträge in Experten
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
Aktuelles, Branche - Apr 25, 2024 18:43 - noch keine Kommentare
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
weitere Beiträge in Branche
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
- KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren