Aktuelles, Branche - geschrieben von dp am Mittwoch, September 25, 2019 22:27 - noch keine Kommentare
Guardicore Labs: Smominru-Botnetz ist zurück
Neue Angriffswelle breitet sich weltweit aus
[datensicherheit.de, 25.09.2019] Guardicore meldet, dass das „Smominru“-Botnetz ein „unrühmliches Comeback“ feiert und aktuell 4.700 Rechner pro Tag infiziert. „Smominru” dient demnach dazu, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen. Die kompromittierten Netzwerke beträfen US-Hochschulen, Medizintechnikfirmen und einen Gesundheitsdienstleister in Italien mit insgesamt 65 infizierten Hosts — sogar Cyber-Sicherheitsanbieter seien betroffen.
Im August 2019 mehr als 4.900 Unternehmensnetze infiziert
Guardicore warnt vor einer neuen Angriffswelle durch die „Smominru“-Malware, die allein im August 2019 mehr als 4.900 Unternehmensnetze infiziert habe. Das „Smominru“-Botnetz sei bereits seit 2017 aktiv, aber breite sich aktuell über neue Angriffsmethoden schnell mit dem Ziel aus, Kyptowährungen zu schürfen und Zugangsdaten zu stehlen.
Dieses weltweite Botnetz kompromittiere „Windows“-Rechner vor allem über den „EternalBlue“-Exploit, der ursprünglich von der U.S. National Security Agency ausgearbeitet worden sei. Nachdem die Hacker-Gruppe „Shadow Brokers“ die Sicherheitslücke geleakt hatte, habe sie unter anderem im Rahmen der „WannaCry“-Ransomware-Attacke 2016 großflächige Schäden angerichtet. Von den aktuellen „Smominru“-Attacken seien insbesondere China, Taiwan, Russland, Brasilien und die USA betroffen.
Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle
Guardicore-Sicherheitsforscher konnten sich nach eigenen Angaben „Zugriff auf einen der angreifenden Hauptserver verschaffen und so Infektionsmuster sowie Umfang der Malware-Kampagne untersuchen“.
Neben dem „EternalBlue“-Exploit nutzten die Angreifer demnach Brute-Force-Angriffe auf verschiedene Services und Computerprotokolle wie „MS-SQL“, RDP oder Telnet. Nach der Erstinfektion werde zunächst ein Powershell-Skript namens „blueps.txt“ auf den betroffenen Rechner geladen, das mehrere Maßnahmen durchführe.
3 Binärdateien heruntergeladen
Im ersten Schritt würden drei Binärdateien heruntergeladen und ausgeführt, um ein administratives Benutzerkonto namens „admin$“ auf dem IT-System neu zu erstellen.
Nach dem Download zusätzlicher Skripte führten die Angreifer dann böswillige Aktionen im angegriffenen Netzwerk aus. Die Angreifer installierten mehrere Backdoor-Programme auf den kompromittierten Rechnern, um neue Nutzer, geplante Tasks, WMI-Objekte und Dienste beim Systemstart einrichten zu können.
Weitere Informationen zum Thema:
Guardicore, Ophir Harpaz and Daniel Goldberg, 18.09.2019
THE MASSIVE PROPAGATION OF THE SMOMINRU BOTNET
datensicherheit.de, 18.02.2019
IoT-Botnetze sind weiterhin große Gefahr für Unternehmen
Aktuelles, Experten, Veranstaltungen - Apr 17, 2024 16:35 - noch keine Kommentare
Cyber-Versicherungen: it’s.BB lädt zu Online-Seminar am 24. April 2024
weitere Beiträge in Experten
- Neuer TeleTrusT-Podcast zu OT-/IT-Sicherheitsvorfällen und Schutzmaßnahmen
- Thomas Fuchs hat Hamburger Tätigkeitsbericht Datenschutz 2023 vorgestellt
- Bitkom-Umfrage zum Anvertrauen des Smartphones an andere
- Mangel an IT-Fachkräften: Bitkom warnt vor dramatischer Verschärfung
- AegisTools.pw: BKA meldet Abschaltung illegaler Online-Plattform
Aktuelles, Branche - Apr 19, 2024 0:09 - noch keine Kommentare
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
weitere Beiträge in Branche
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
- Mittels internem Marketing Verständnis für IT-Sicherheitsmaßnahmen schaffen
- RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
- NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos
- Trotz strenger Gesetze und Vorschriften für IT-Sicherheit: Europa bleibt anfällig für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren