Cyberkriminelle infizieren Unternehmen mittels NSA-Tools mit Kryptominern

Trend Micro hat eine neue Kryptomining-Kampagne aufgedeckt. Die Hintermänner infizieren Computer von Unternehmen weltweit mit einem Miner für die Kryptowährung Monero. Dabei kommt ein Exploit-Toolkit zum Einsatz, das ursprünglich von der NSA-Abteilung Equation Group stammt.

Konkret verwenden die Hacker die von der NSA selbst entwickelten SMB-Exploits EternalBlue und EternalChampion. Sie waren vor mehr als zwei Jahren den Shadow Brokers in die Hände gefallen, die sie im April 2017 veröffentlichten. Obwohl schon lange Patches von Microsoft zur Verfügung stehen, gibt es immer noch eine nicht unerhebliche Zahl von angreifbaren Systemen, die bis heute nicht aktualisiert wurden – weswegen Cyberkriminelle immer wieder auf die NSA-Tools zurückgreifen.

„Die Kampagne scheint weit verbreitet zu sein“, zitiert Bleeping Computer den japanischen Sicherheitsanbieter. In bevölkerungsreichen Ländern wie China und Indien gebe es die meisten Opfer. Auch die weiteren Top-5-Plätze sind laut Trend Micro ausschließlich mit asiatischen Ländern belegt: Vietnam, Thailand und Indonesien.

Trend Micro sieht die jüngsten Angriffe als Beispiel dafür an, dass „ungeübte Cyberkriminelle ohne Schwierigkeiten auf militärische Werkzeuge zugreifen können, um sie für gewöhnliche Cyberkriminalität zu nutzen. Die Hintermänner gingen nicht gezielt gegen einzelne Unternehmen vor, sondern gegen jegliche angreifbare Maschinen.

Mithilfe einer auf EternalBlue basierenden Backdoor sowie einer Variante des Trojaners Vools schleusten die unbekannten Täter fast 80 Varianten des Kryptominers XMRig ein. Die Binärdatei des Kryptominers finde sich stets in den Ordnern „system32“ oder „SysWOW64“. Welche Ordner zum Einsatz komme, sei von der XMRig-Variante abhängig.

Die Server, von denen die Angriffe ausgehen, konnte Trend Micro indes noch nicht identifizieren. Die Hacker sollen fortlaufend ihre Infrastruktur ändern. Ob Sie gezielt versuchen, einer Erkennung zu entgehen, oder ob sie einfach regelmäßig die Kontrolle über ihre Angriffs-Server verlieren, lässt sich Trend Micro zufolge derzeit nicht erkenn.

Betroffene Systeme sind den Forschern zufolge leicht an einer Diagnostics.txt genannten Datei im Windows-Verzeichnis zu erkennen. Dabei soll es sich allerdings um ein ZIP-Archiv handeln im die NSA-Hacking-Tools aufbewahrt werden.

Die Werkzeuge der NSA wie Eternal Blue erfreuen sich bei Hackern weiterhin einer großen Beliebtheit. Ende Mai berichtete die New York Times, dass EternalBlue nun auch eingesetzt wird, um Ransomware zu verbreiten. Davon betroffen war zu dem Zeitpunkt auch die US-Stadt Baltimore im Bundesstaat Maryland, wo auch das Hauptquartier der National Security Agency (NSA) liegt.