Facebook Linkedin Twitter Instagram Youtube Telegram

Descubren una campaña global de ciberataques que aprovecha la vulnerabilidad de Microsoft Exchange

Las víctimas de la red de bots Prometei son aleatorias, lo que hace que los ataques sean más peligrosos y estén más extendidos

Cybereason, ha anunciado el descubrimiento de una nueva campaña de botnet altamente dirigida, que utiliza el botnet Prometei, sigiloso y omnipresente, para atacar a empresas de todo el mundo con una ofensiva múltiple que busca robar bitcoins y datos de las redes corporativas. Una botnet es una red de equipos informáticos infectados que se ejecutan de manera autónoma y automática, pudiendo el artífice de la botnet controlar todos los ordenadores de forma remota. El actor de la amenaza, de habla rusa, está aprovechando las vulnerabilidades de Microsoft Exchange para penetrar en redes aleatorias. Esta amenaza está provocando grandes pérdidas financieras y de datos para las empresas. 

Prometei cuenta con una infraestructura diseñada para garantizar que se mantenga viva con las máquinas infectadas que forman parte de la red de bots. A lo largo de los años, diferentes servidores C2 de Prometei han sido retirados por las autoridades. Aunque se informó por primera vez de Prometei en julio de 2020, Cybereason cree que se remonta al menos a 2016, un año antes de los infames ataques de malware WannaCry y NotPetya que afectaron a más de 200 países y causaron miles de millones en daños. Según se ha podido comprobar, Prometei sigue evolucionando regularmente con nuevas características y herramientas. 

«La red de bots Prometei supone un gran riesgo para las empresas porque no se ha informado lo suficiente de la misma. Cuando los atacantes toman el control de las máquinas infectadas, no solo son capaces de robar bitcoins, sino también información sensible. Si lo desean, los atacantes también pueden infectar los dispositivos finales comprometidos con otro malware y colaborar con bandas de ransomware para vender el acceso a estos puntos finales. Además, para empeorar la situación, la criptominería consume la potencia de cálculo de la red, afectando a la continuidad del negocio y al rendimiento y estabilidad de los servidores críticos», ha afirmado Assaf Dahan, director senior y jefe de investigación de amenazas de Cybereason.

Estas son las principales conclusiones de la investigación de Cybereason:

  • Amplio espectro de víctimas. Se han observado víctimas en una gran variedad de sectores, entre ellos: finanzas, seguros, comercio minorista, industria, utilities, viajes y construcción. Las empresas infectadas se encuentran en países de todo el mundo, como Estados Unidos, Reino Unido, Alemania, Francia, España, Italia y otros países europeos, Sudamérica y Asia oriental.  
  • Responsable de la amenaza de habla rusa. El actor de la amenaza parece ser de habla rusa y evita a propósito las infecciones en los países del antiguo bloque soviético.
  • Aprovechamiento de las vulnerabilidades de SMB y RDP. El objetivo principal de Prometei es instalar el minero de criptomonedas Monero en los puntos finales de las empresas. Para propagarse por las redes, el actor de la amenaza está utilizando vulnerabilidades conocidas de Microsoft Exchange, además de los conocidos exploits EternalBlue y BlueKeep.
  • Amenaza multiplataforma. Prometei tiene versiones basadas en Windows y en Linux-Unix, y ajusta su carga útil en función del sistema operativo detectado en las máquinas infectadas objetivo cuando se propaga a través de la red.
  • Cibercrimen APT con motivación financiera. Cybereason considera que el operador de la red de bots Prometei tiene una motivación financiera y espera ganar fuertes sumas de bitcoins, pero no está respaldado por un estado nacional. El atacante persigue mantener el control de la infraestructura de la víctima de forma continuada.
  • Infraestructura C2 resistente. La red Prometei está diseñada para interactuar con cuatro servidores de comando y control (C2) diferentes, lo que refuerza la infraestructura de la botnet y mantiene comunicaciones continuas, haciéndola más resistente a los derribos.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.