SIKKERHET

Farlig botnett sprer seg ved å gjette passord: Vokser i svært høyt tempo

Purple Fox har fått nye egenskaper.

Et aggressivt botnett er nå i ferd med å spre seg raskt, melder sikkerhetsforskere.
Et aggressivt botnett er nå i ferd med å spre seg raskt, melder sikkerhetsforskere. Illustrasjonsfoto: Colourbox/27492556
26. mars 2021 - 17:00

Sikkerhetsforskere rapporterer nå at et botnett som først ble oppdaget for en tid tilbake har fått seg nye egenskaper som gjør at det sprer seg urovekkende raskt. Det melder blant andre nettstedet TechCrunch.

Botnettet, som først ble oppdaget i 2018, har fått navnet Purple Fox og spredte seg i begynnelsen via phishing-teknikker og «exploit»-pakker som utnyttet sårbarheter.

Har fått orm-egenskaper

Ifølge sikkerhetsselskapet Guardicore, som har sporet skadevaren i lengre tid, har Purple Fox imidlertid nå fått orm-egenskaper som gjør at den sprer seg på egen hånd og i et mye høyere tempo enn tidligere.

Selskapet sier at botnettet nå vokser gjennom «brute force»-angrep mot internett-tilkoblede Windows-maskiner, altså ved å «gjette» seg frem til svake passord.

Antallet infeksjoner har steget med 600 prosent sammenlignet med samme måned i fjor, og Guardicore har hittil registrert 90.000 angrep til sammen.

Angrepene skjer ifølge Guardicore hovedsakelig via den såkalte SMB-protokollen (server message block), som brukes til å gi brukere delt adgang til blant annet filer, skrivere og porter mellom noder i et nettverk. Protokollen har tidligere slitt med flere ulike sårbarheter, som digi.no har skrevet om.

Installerer rootkit

Purple Fox opererer med et stort antall kompromitterte servere som brukes til å levere den ondsinnede programlasten – rundt 2000 er registrert så langt. Serverne kjører eldre versjoner av Windows Server som er kjent for å være belemret med flere forskjellige sårbarheter, skriver selskapet.

Skadevaren installerer også en «rootkit» som setter bakmennene i stand til å skjule skadevaren slik at den er svært vanskelig å oppdage og fjerne, og på den måten skaffer seg et permanent fotfeste.

Purple Fox har blitt omtalt av flere sikkerhetsaktører de siste årene. Trend Micro rapporterte allerede i 2019 at skadevaren la til stadig flere sårbarheter i sine exploit»-pakker. Ifølge sikkerhetsselskapet brukes Purple Fox til å levere en rekke ulike typer skadevare, deriblant kryptominere.

Flere tekniske detaljer finner du hos Guardicore.

Ryuk-programvaren har blitt farligere med ny egenskap.
Les også

Farlig utpressingsvirus med ny egenskap: Sprer seg fra maskin til maskin på egen hånd

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.