Após a descoberta do enorme botnet-malware chamada VPNFilter , pesquisadores de segurança descobriram outra botnet gigante que já comprometeu mais de 40.000 servidores, modems e dispositivos conectados à Internet pertencentes a um grande número de organizações em todo o mundo.
Apelidado de Operação Prowli , a campanha tem espalhado malwares e injetando códigos maliciosos para dominar servidores e sites em todo o mundo, usando várias técnicas de ataque, incluindo o uso de explorações, forçar o uso de senha e abusar de configurações fracas.
Descoberto por pesquisadores da equipe de segurança GuardiCore, a Operação Prowli já atingiu mais de 40.000 máquinas de vítimas de mais de 9.000 empresas em vários domínios, incluindo finanças, educação e organizações governamentais.
Aqui estão os dispositivos e serviços da lista infectados pelo malware Prowli:
- Servidores CMS Drupal e WordPress que hospedam sites populares
- Joomla! servidores executando a extensão K2
- Servidores de backup executando o software HP Data Protector
- Modems DSL
- Servidores com uma porta SSH aberta
- Instalações PhpMyAdmin
- Caixas NFS
- Servidores com portas SMB expostas
- Dispositivos vulneráveis de Internet da coisa (IoT)
Todos os alvos acima foram infectados usando uma vulnerabilidade conhecida ou adivinhação de credenciais.
Prowli Malware Injeta o Minerador da Criptomoeda
Como os atacantes por trás do ataque Prowli estão abusando dos dispositivos e sites infectados para minar criptomoeda ou executar um script que os redireciona para sites maliciosos, os pesquisadores acreditam que eles estão mais focados em ganhar dinheiro do que ideologia ou espionagem.
De acordo com pesquisadores da GuardiCore, os dispositivos comprometidos foram encontrados infectados com um mineiro de criptomoedas Monero (XMR) e com o worm "r2r2" - um malware escrito em Golang que executa ataques de força bruta SSH dos dispositivos infectados, permitindo que o malware Prowli assuma o controle. novos dispositivos.
Em palavras simples, "o r2r2 gera aleatoriamente blocos de endereços IP e iterativamente tenta forçar logins SSH com um dicionário de usuário e senha. Uma vez que ele entra, ele executa uma série de comandos na vítima", explicam os pesquisadores.
Esses comandos são responsáveis pelo download de várias cópias do worm para diferentes arquiteturas de CPU, um minerador de criptomoeda e um arquivo de configuração de um servidor remoto codificado.
Além do mineiro de criptomoedas, os atacantes também estão usando um conhecido webshell de código aberto chamado "WSO Web Shell" para modificar os servidores comprometidos, permitindo que os invasores redirecionem os visitantes dos sites para sites falsos que distribuem extensões maliciosas do navegador .
A equipe GuardiCore rastreou a campanha em várias redes em todo o mundo e encontrou a campanha Prowli associada a diferentes indústrias.
Como os atacantes estão usando uma combinação de vulnerabilidades conhecidas e adivinhação de credenciais para comprometer os dispositivos, os usuários devem garantir que seus sistemas estejam atualizados e sempre usem senhas fortes para seus dispositivos.
Além disso, os usuários também devem considerar o bloqueio de sistemas ea segmentação de sistemas vulneráveis ou difíceis de proteger, a fim de separá-los do restante de sua rede.
No final do mês passado, um enorme botnet, apelidado de VPNFilter , foi encontrado infectando meio milhão de roteadores e dispositivos de armazenamento de uma ampla gama de fabricantes em 54 países com um malware que possui recursos para realizar operações cibernéticas destrutivas, vigilância e man-in-the- ataques do meio.
De acordo com pesquisadores da GuardiCore, os dispositivos comprometidos foram encontrados infectados com um mineiro de criptomoedas Monero (XMR) e com o worm "r2r2" - um malware escrito em Golang que executa ataques de força bruta SSH dos dispositivos infectados, permitindo que o malware Prowli assuma o controle. novos dispositivos.
Em palavras simples, "o r2r2 gera aleatoriamente blocos de endereços IP e iterativamente tenta forçar logins SSH com um dicionário de usuário e senha. Uma vez que ele entra, ele executa uma série de comandos na vítima", explicam os pesquisadores.
Esses comandos são responsáveis pelo download de várias cópias do worm para diferentes arquiteturas de CPU, um minerador de criptomoeda e um arquivo de configuração de um servidor remoto codificado.
Atacantes também enganam os usuários na instalação de extensões maliciosas
Além do mineiro de criptomoedas, os atacantes também estão usando um conhecido webshell de código aberto chamado "WSO Web Shell" para modificar os servidores comprometidos, permitindo que os invasores redirecionem os visitantes dos sites para sites falsos que distribuem extensões maliciosas do navegador .
A equipe GuardiCore rastreou a campanha em várias redes em todo o mundo e encontrou a campanha Prowli associada a diferentes indústrias.
"Durante um período de 3 semanas, capturamos dezenas de ataques por dia provenientes de mais de 180 PIs de uma variedade de países e organizações", disseram os pesquisadores. "Esses ataques nos levaram a investigar a infra-estrutura dos invasores e descobrir uma operação abrangente atacando vários serviços".
Como proteger seus dispositivos contra ataques de malware tipo Prowli
Como os atacantes estão usando uma combinação de vulnerabilidades conhecidas e adivinhação de credenciais para comprometer os dispositivos, os usuários devem garantir que seus sistemas estejam atualizados e sempre usem senhas fortes para seus dispositivos.
Além disso, os usuários também devem considerar o bloqueio de sistemas ea segmentação de sistemas vulneráveis ou difíceis de proteger, a fim de separá-los do restante de sua rede.
No final do mês passado, um enorme botnet, apelidado de VPNFilter , foi encontrado infectando meio milhão de roteadores e dispositivos de armazenamento de uma ampla gama de fabricantes em 54 países com um malware que possui recursos para realizar operações cibernéticas destrutivas, vigilância e man-in-the- ataques do meio.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário