Angreifer nutzen Exchange-Schwachstelle für Kryptominer

Sophos News
Anzeige

Beitrag teilen

Sophos Labs hat einen Angreifer ausgemacht, der eine Exchange-Schwachstelle für Kryptomining nutzt: „Admins sollten den Exchange Server auf Web-Shells scannen und Server auf ungewöhnliche Prozesse überwachen, die scheinbar aus dem Nichts auftauchen. Eine hohe Prozessorauslastung durch ein unbekanntes Programm könnte ein Zeichen für Krypto-Mining-Aktivitäten oder Ransomware sein,“ sagt Andrew Brandt, Principal Threat Researcher bei Sophos.

Die bekannten, jüngsten Probleme rund um die Microsoft Exchange Server-Schwachstellen sind wohl noch lange nicht endgültig vom Tisch: Auch nach den Sicherheits-Patches vom 2. und 9. März nutzen immer neue Angreifer den Exploit für ihre Attacken aus. SophosLabs hat nun einen unbekannten Angreifer ausfindig gemacht, der die „ProxyLogon“-Schwachstelle nutzt, um einen Kryptominer zu installieren, der die noch nicht gepatchten Server angreift. Der „Schürfer“ gehört zur Familie des legitimen Open-Source-Monero-Miners xmr-stak. Andrew Brandt, Principal Threat Researcher bei Sophos, verrät weitere Details der Kryptominer-Attacke.

Anzeige

Mining floss in Monero-Wallets

„Unsere Analyse dieser Kampagne zeigt, dass am 9. März Mining-Werte in die Monero-Wallets der Angreifer flossen und die Attacke danach schnell an Umfang verlor. Dies deutet darauf hin, dass wir es hier mit einem weiteren schnell zusammengestellten, opportunistischen und möglicherweise experimentellen Angriff zu tun haben, der versucht, etwas leichtes Geld abzugreifen, bevor ein weitverbreitetes Patching stattfindet. Unternehmen sollten nicht nur ihre Server umgehend patchen, sondern diese auch weiterhin aufmerksam überwachen.

Für die meisten Opfer ist das erste Anzeichen einer Kompromittierung wahrscheinlich ein signifikanter Abfall der Verarbeitungsleistung. Server, die nicht gepatcht sind, können bereits seit einiger Zeit kompromittiert sein, bevor dies deutlich wird. Admins sollten den Exchange Server auf Web-Shells scannen und Server auf ungewöhnliche Prozesse überwachen, die scheinbar aus dem Nichts auftauchen. Eine hohe Prozessorauslastung durch ein unbekanntes Programm könnte ein Zeichen für Krypto-Mining-Aktivitäten oder Ransomware sein.“

Anzeige

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Incident-Response auf dem Prüfstand

Unternehmen und Organisationen stehen bei einem Cyberangriff enorm unter Druck, denn die richtige Reaktion auf einen Vorfall ist zeitintensiv, erfordert ➡ Weiterlesen

Container-Scanning in Cloud-Umgebungen 

Mehr Sicherheit in Cloud-Umgebungen durch Container-Scanning. Sophos Cloud Optix identifiziert jetzt auch Schwachstellen in Container-Images und ermöglicht automatisierte Reaktionen. Sophos baut ➡ Weiterlesen

Realität der KI in der Cybersecurity

Es herrscht ein großer Hype um den Einsatz von künstlicher Intelligenz (KI) in der Cybersecurity. Die Wahrheit ist, dass sich ➡ Weiterlesen

Schwachstellen-Lügner kassieren Belohnungen

Bug-Bounty-Programme sollen Schwachstellen aufdecken und dafür gibt es Belohnungen. Aber immer mehr Trittbrettfahrer melden Schwachstellen bei KMU-Webseiten die gar keine ➡ Weiterlesen