Erste Kryptomining-Malware nutzt die Exchange-Sicherheitslücke aus

Nadine Juliana Dressler am 17.03.2021 19:49 Uhr
10 Kommentare
Die schwerwiegende Exchange-Si­cher­heits­lü­cke, die weltweit zigtausende Nutzer angreifbar gemacht hat, wird nun auch von Kryptomining-Malware genutzt. Bisher gab es wenige Hinweise auf ein solches Szenario, doch nun warnen Sicherheitsexperten vor aktiven Cyberkriminellen.

Die Entdeckung der neuen Bedrohung liegt nun schon ein paar Tage zurück. Jetzt ist klar: Microsofts Exchange-Exploits werden auch von Kryptomining-Malware genutzt. Das berichtet das Online-Magazin Bleeping Computer. Die Betreiber von Lemon_Duck, einem Krypto­mining-Botnet, das auf Unternehmensnetzwerke abzielt, nutzen die Microsoft Exchange-Exploits in Angriffen auf noch ungepatchte Server.

Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Dabei kommt ein XMRig Monero (XMR) CPU-Coinminer zum Einsatz. Die Hacker installieren die Mining-Software auf infizierten Geräten, um Kryptowährung für die Besitzer des Botnets zu schürfen. Solche Coinminer können dabei zu erheblichen Problemen in Netzwerken führen, unter anderem auch, da sie sich Leistung reservieren und so das Netzwerk auch für andere Aktionen lahmlegen können.

Bekannte Angreifer

Die laufenden Angriffe von Lemon_Duck auf anfällige Exchange-Server haben bereits ein massives Ausmaß erreicht, schreibt Bleeping Computer. In früheren Angriffen wurde das Botnetz zudem dafür genutzt, um sich über das SMB-Protokoll zum Beispiel durch Brute-Forcing-Attacken Zugang zu den Netzwerken der Opfer zu verschaffen. Die Kryptomining-Malware ist zudem im Zusammenhang mit groß angelegten Spam-Kampagnen mit COVID-19-Thema bekannt geworden.

"Der Lemon Duck Cryptominer ist eine der fortschrittlichsten Arten von Cryptojacker-Payloads, die wir gesehen haben", erklärte Sophos Sicherheitsforscher Rajesh Nataraj zu Lemon_Duck. "Seine Schöpfer aktualisieren den Code ständig mit neuen Bedrohungs­vektoren und Verschleierungs­techniken, um die Erkennung zu umgehen. Der Miner selbst ist 'dateilos', das heißt, er bleibt speicherresident und hinterlässt keine Spuren im Dateisystem des Opfers." Zehntausende von Unternehmen wurden bereits durch laufende Angriffe kompromittiert. Das genaue Ausmaß ist noch lange nicht bekannt.

Download RogueKiller - Malware aufspüren & entfernen
Download Malwarebytes Premium, Schutz vor Schadsoftware
Siehe auch:
10 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Folge WinFuture auf Google News
Verwandte Themen
Bitcoin
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies