Miner PowerGhost treibt sein Unwesen

30 Jul 2018

Unsere Experten haben kürzlich einen Miner entdeckt, der es hauptsächlich auf Unternehmensnetzwerke abgesehen hat. Das dateilose Naturell der Malware PowerGhost erlaubt es ihr, sich unbemerkt in die Workstations oder Server der Opfer einzuschleusen. Ein Großteil der Angriffe, die wir bisher registriert haben, fanden in Indien, der Türkei, Brasilien und Kolumbien statt.

Nachdem sich die Malware in die Infrastruktur eines Unternehmens eingeschleust hat, versucht PowerGhost, sich über das legitime Remote-Verwaltungstool Windows Management Instrumentation (WMI) in die Netzwerk-Benutzerkonten einzuloggen. Die notwendigen Usernamen und Passwörter entwendet die Malware mithilfe eines Datenextraktionstools namens Mimikatz. Der Miner kann allerdings auch über den Windows-Exploit EternalBlue, der seinerzeit auch von den Entwicklern von WannaCry und ExPetr verwendet wurde, verteilt werden. In der Theorie wurde diese Sicherheitslücke bereits für ein Jahr gepatcht, in der Praxis funktioniert sie allerdings weiterhin.

Auf den Geräten der Opfer versucht die Malware, ihre Rechte über verschiedene Sicherheitslücken des Betriebssystems zu erweitern (weitere Informationen dazu finden Sie in unserem Blog-Artikel auf Securelist). Danach fasst der Miner festen Fuß im System und beginnt, Kryptowährung in die Taschen seiner Entwickler zu schürfen.

Warum ist PowerGhost gefährlich?

Wie jeder andere Miner macht auch PowerGhost sich Ihre Rechenressourcen zunutze, um Kryptowährung zu schürfen. Dies reduziert sowohl Ihre Serverleistung als auch die Performance anderer Geräte und führt zu einem erheblich schnelleren Verschleiß, was wiederum Ersatzkosten birgt.

Im Vergleich zu den meisten anderen Programmen seiner Art ist PowerGhost jedoch schwieriger zu erkennen, da die Malware keine schädlichen Dateien auf das Gerät downloaded. Das bedeutet, dass es länger unbemerkt auf Ihrem Server und/oder Ihrer Workstation arbeiten und mehr Schaden anrichten kann.

Darüber hinaus haben unsere Experten in einer Version der Malware ein Tool für DDoS-Angriffe entdeckt. Die Verwendung der Unternehmensserver, um ein weiteres Opfer anzugreifen, kann die Unternehmensaktivitäten verlangsamen oder sogar vollständig lahmlegen. Ein weiteres interessantes Merkmal der Malware ist ihre Fähigkeit zu überprüfen, ob sie unter einem echten Betriebssystem oder in einer Sandbox ausgeführt wird, wodurch sie Standardsicherheitslösungen umgehen kann.

PowerGhost-Busters

Um Infektionen zu vermeiden und Geräte vor Angriffen von PowerGhost und ähnlicher Malware zu schützen, sollten Sie die Sicherheit von Unternehmensnetzwerken rigoros überwachen.

  • Installieren sie verfügbare Betriebssytem-Updates umgehend. Alle Schwachstellen, die von dem Miner ausgenutzt werden, wurden bereits gepatcht. Virusautoren neigen dazu, Ihre Kreationen auf Exploits langzeit-gepatchter Schwachstellen aufzubauen.
  • Erhöhen Sie die Sicherheits-Awareness Ihrer Mitarbeiter. Denken Sie daran, dass bei vielen Cybervorfällen der Faktor Mensch eine besonders große Rolle spielt.
  • Verwenden Sie eine zuverlässige Sicherheitslösung mit Verhaltensanalysetechnologie – nur so können dateilose Bedrohungen abgefangen werden, bevor sie weiteren Schaden anrichten. Die Business-Produkte von Kaspersky Lab erkennen sowohl PowerGhost und seine Komponenten als auch viele andere Schadprogramme.