Microsoft ha comunicato che circa il 92% dei server Exchange sono al sicuro dopo aver installato le patch per le note vulnerabilità ProxyLogon, ma gli attacchi non sono certamente finiti. Uno dei più recenti è stato attuato dalla botnet Prometei che cerca di sfruttare i computer per generare criptovalute.
Prometei: botnet di cryptominer per Exchange
La botnet è operativa dal 2016. Recentemente è stata aggiornata con funzionalità di backdoor, in modo da sfruttare le vulnerabilità di Microsoft Exchange. Il principale obiettivo di Prometei è installare un cryptominer di Monero e quindi utilizzare le risorse (CPU in particolare) dei server per generare monete digitali. Ciò avviene tramite diverse varie tecniche e tool che consentono la diffusione del malware attraverso la rete, tra cui exploit EternalBlue e BlueKeep, furto di credenziali, exploit SMB e RDP.
Le funzionalità di backdoor permettono alla botnet di cercare e rubare informazioni sensibili, oltre che eseguire una serie di comandi. Prometei può rilevare il sistema operativo e attivare moduli specifici per Windows e Linux. I gestori della botnet sono sicuramente russi finanziariamente motivati (qualcuno li finanzia, ma stavolta non c’entra il governo). La botnet è difficile da smantellare perché è basata su un’infrastruttura piuttosto resiliente (almeno quattro server di command&control).
Prometei rappresenta un grave pericolo per la sicurezza aziendale. È quindi necessario installare con urgenza tutte le patch rilasciate da Microsoft per Exchange Server.