PowerGhost: Pas op voor spookmijnwerkers

juli 30, 2018

Onze deskundigen hebben onlangs een mijnwerker ontdekt die het gemunt heeft op ondernemingsnetwerken. De PowerGhost is bestandsloos en staat daarmee het toe dat de malware zich bindt aan de werkstations of servers van slachtoffers, zonder dat ze het doorhebben. De meeste aanvallen die we tot dusver hebben geregistreerd hebben plaatsgevonden in India, Turkije, Brazilië of Colombia.

Zodra is binnengedrongen tot de infrastructuur van het bedrijf, probeert PowerGhost in het netwerk van gebruikersaccounts in te loggen door middel van de toegestane administratie-tool op afstand Windows Management Instrumentation (WMI). De malware verkrijgt logins en wachtwoorden met een data-extractie tool genaamd Mimikatz. De mijnwerker kan ook via de EternalBlue exploit voor Windows verspreid worden, gebruikt door de makers van WannaCry en ExPetr. In theorie is deze kwetsbaarheid een jaar geleden gepatched, maar in de praktijk werkt het nog.

Eenmaal op de apparaten van de slachtoffers probeert de malware gebruikersrechten te verkrijgen via verschillende OS-kwetsbaarheden (zie de Securelist blogpost voor technische details). Daarna krijgen de mijnwerkers voet aan de grond in het systeem en kan het stelen van cryptovaluta van de eigenaren beginnen.

Waarom is PowerGhost gevaarlijk?

Zoals alle mijnwerkers gebruikt PowerGhost IT-middelen om cryptovaluta te genereren. Hierdoor vermindert de prestatie van zowel de server als andere apparaten en het versnelt het slijtageproces aanzienlijk, wat op zijn beurt weer leidt tot reparatie- of vervangingskosten.

In vergelijking tot soortgelijke programma’s is PowerGhost moeilijker op te sporen, omdat het geen kwaadaardige bestanden op het apparaat plaatst. Daardoor kan het langer ongezien zijn werk doen op je server of werkstation, en daardoor meer schade aanrichten.

Sterker nog, in een van de versies ontdekten onze deskundigen een tool voor DDoS-aanvallen. Het gebruik van een bedrijfsserver om een slachtoffer te bombarderen, kan operationele taken vertragen of zelfs stilleggen. Een interessante eigenschap is dat de malware kan controleren of het onder een echt besturingssysteem opereert of een sandbox, waardoor het veiligheidsoplossingen kan omzeilen.

PowerGhost-busters

Om besmetting met PowerGhost te vermijden en te beschermen tegen een aanval van soortgelijke malware, zou je de veiligheid van bedrijfsnetwerken zorgvuldig moeten monitoren.

  • Sla nooit updates van software- en besturingssystemen over. Alle kwetsbaarheden die door mijnwerkers worden benut zijn door leveranciers allang gepatched. Schrijvers van virussen hebben de neiging om zich te baseren op kwetsbaarheden waar al een patch voor bestaat.
  • Zorg ervoor dat je werknemers zich bewuster worden van veiligheid. Onthoud dat de meeste cyberincidenten worden veroorzaakt door menselijke factoren.
  • Gebruik betrouwbare veiligheidsoplossingen met technologie die gedragsanalyse hanteert – alleen op die manier kunnen bestandsloze aanvallen opgespoord worden. De business-producten van Kaspersky Lab sporen zowel PowerGhost op als de individuele componenten, en ook een boel andere kwaadaardige, inclusief nog onbekende programma’s.