Contact
QR code for the current URL

Story Box-ID: 1088325

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Gefährlicher Vorbote: Tor2Mine Cryptominer mit neuen Varianten

Sophos beschreibt neue Varianten, die sich durch verbesserte Umgehungs-, Persistenz- und Verbreitungsfähigkeiten auszeichnen und gibt Tipps zum Unternehmensschutz

(PresseBox) (Wiesbaden, )
"Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge.“

(Sean Gallagher, Senior Threat Researcher, Sophos)

Sophos hat heute neue Erkenntnisse über den Tor2Mine Cryptominer veröffentlicht.

Die Analyse “Two flavors of Tor2Mine miner dig deep into networks with PowerShell, VBScript“ zeigt, wie der Miner sich der Erkennung entzieht, sich automatisch in einem Zielnetzwerk ausbreitet und immer schwieriger von einem infizierten System zu entfernen ist. Tor2Mine ist ein Monero-Miner, der bereits seit mindestens zwei Jahren aktiv ist.

In der Untersuchung beschreibt Sophos neue Varianten des Miners, die ein PowerShell-Skript enthalten, das versucht, den Malware-Schutz zu deaktivieren, die Nutzlast des Miners auszuführen und Windows-Administrator-Anmeldedaten zu stehlen. Was dann passiert, hängt davon ab, ob es Cyberkriminellen gelingt, mit den gestohlenen Zugangsdaten erfolgreich Administratorrechte zu erlangen. Dieser Prozess ist bei allen untersuchten Varianten gleich.

Gelingt es den Angreifern beispielsweise, sich administrative Anmeldeinformationen zu verschaffen, können sie sich den privilegierten Zugriff sichern, den sie zur Installation der Mining-Dateien benötigen. Sie können auch das Netzwerk nach anderen Rechnern durchsuchen, auf denen sie die Mining-Dateien installieren können. Dadurch kann sich Tor2Mine weiterverbreiten und sich auf Computern im Netzwerk einnisten.

Selbst wenn die Angreifer keine administrativen Rechte erlangen können, kann Tor2Mine den Miner dennoch aus der Ferne und ohne Dateien ausführen, indem Befehle verwendet werden, die als geplante Aufgaben ausgeführt werden. In diesem Fall wird die Mining-Software aus der Ferne und nicht auf einem angegriffenen Computer gespeichert.

Ausschalten des Anti-Malware-Schutzes

Alle Varianten eint, dass sie versuchen, den Anti-Malware-Schutz auszuschalten und denselben Mining-Code zu installieren. In allen Fällen wird der Miner weiterhin Systeme im Netzwerk infizieren, bis er auf einen Malware-Schutz trifft oder vollständig aus dem Netzwerk entfernt wird.

"Das Vorhandensein von Minern wie Tor2Mine in einem Netzwerk ist fast immer ein Vorbote für andere, potenziell gefährlichere Eindringlinge. Tor2Mine ist jedoch viel aggressiver als andere Miner", sagt Sean Gallagher, Senior Threat Researcher bei Sophos. "Wenn er erst einmal in einem Netzwerk Fuß gefasst hat, ist es schwierig, ihn ohne die Hilfe von Endpoint Protection-Software und anderen Anti-Malware-Maßnahmen zu beseitigen. Da er sich von seinem ursprünglichen Angriffspunkt her ausbreitet, kann er nicht einfach durch das Patchen und Reinigen eines Systems beseitigt werden. Der Miner wird immer wieder versuchen, andere Systeme im Netzwerk neu zu infizieren, selbst wenn der Command-and-Control-Server für den Miner blockiert wurde oder offline geht. Da Kryptowährungen immer mehr an Wert gewinnen und die ständig wachsende Ransomware- und Cyberextortion-Landschaft unterstützen, ist es gut möglich, dass noch mehr und aggressivere Varianten anderer Kryptominers auftauchen.

Die Sophos Forscher:innen entdeckten auch Skripte, die eine Vielzahl von Prozessen und Aufgaben beenden. Fast alle stehen im Zusammenhang mit Crimeware, einschließlich konkurrierender Cryptominers und Clipper-Malware, die Kryptowährungs-Wallet-Adressen stiehlt.

"Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld zu verwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken", sagt Gallagher.

Um Unternehmensnetzwerke und -Endpoints vor Kryptominern wie Tor2Mine zu schützen, empfiehlt Sophos drei elementare Maßnahmen:
  • Patches für Software-Schwachstellen auf Systemen mit Internetzugang, wie z.B. Webanwendungen, VPN-Dienste und E-Mail-Server, sollten schnellstmöglich installiert werden, da dies die Wahrscheinlichkeit, Opfer von Kryptominern zu werden, deutlich verringert
  • Einsatz von Anti-Malware-Produkten - Miner werden in der Regel leicht von solchen Technologien erkannt - insbesondere von solchen, die das Anti-Malware Software Interface (AMSI) von Windows nutzen, um Skripte zu erkennen, die den Malware-Schutz ausschalten sollen
  • Prüfung und Beobachtung hinsichtlich ungewöhnlich hoher Auslastung der Rechenleistung, einer verringerten Computerleistung und höheren Stromrechnungen als normalerweise. Dies alles kann auf die Anwesenheit von Kryptominern im Netzwerk hinweisen kann
Mehr über die Sophos Analyse von Tor2Mine findet sich in den SophosLabs Uncut.

Kompromittierungsindikatoren für die in der Untersuchung behandelten Tor2Mine-Varianten sind auf der GitHub-Seite der SophosLabs verfügbar.

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.