אלכסנדר אנטיפוב
בן שמונה רשת בוט פרומטיי ממשיכה להדביק מערכות ברחבי העולם ולהתפשט גניבת קריפטו-תוכניות וקונכיות אינטרנט. הוא התגלה לראשונה בשנת 2020, אך נתונים של חוקרים מראים שהוא פעיל מאז 2016. במהלך תקופה זו, הוא חדר ליותר מ-10,000 מחשבים במדינות כמו ברזיל, אינדונזיה, טורקיה וגרמניה. Prometei מנצל באופן פעיל נקודות תורפה בתוכנות בשימוש נרחב, חודר למערכות עם הגנה לא מספקת. לדברי קאלי גינטר, מנהלת מחקר איומים ב התחלה קריטיתהבוטנט מתפשט דרך תצורות חלשות ושרתים לא מוגנים. היא מכוונת לאזורים עם רמות נמוכות של אבטחת סייבר, הימנעות ממגבלות גיאוגרפיות ומנצלת חולשות מערכתיות.
IN דוח אחרון Trend Micro מתאר את "Prometei" כמגושם מאוד בהתחלה, עושה ניסיונות כניסה כושלים רבים, אך לאחר מכן מנצל באופן סמוי פגיעויות ישנות. פגיעות אחת כזו היא BlueKeep, המאפשרת ביצוע קוד מרחוק ועדיין נמצא במערכות RDP מדור קודם. הוא גם משתמש ב-EternalBlue כדי להפיץ באמצעות פרוטוקול SMB ומנסה לעקוף הגנה דרך ProxyLogon, לזהות שרתי Exchange לא מוגנים.
המטרה של התקפות Prometei היא למצוא מערכות שנותרו ללא עדכונים שוטפים. לדברי מומחה מ Qualys Mayuresha Dani, הבוטנט מחפש בעיקר מטרות קלות. גישה זו מאפשרת לתוקפים למזער את ההתנגדות ולהרוויח מקסימום תועלת ממשאבים לא מוגנים. ברגע שרשת בוט חדרה למערכת, היא משתמשת באלגוריתם יצירת תחום (DGA) כדי לשמור על תקשורת עם שרתי פקודה ובקרה גם אם כמה תחומים חסומים. התוכנית גם מפעילה בכוח את פרוטוקול Wdigest מדור קודם כדי לחלץ סיסמאות בטקסט רגיל ועוקפת את הגנת Windows Defender על ידי אי הכללת ספריות מפתח מסריקה.
המטרה העיקרית של Prometei נותרה כרייה נסתרת של המטבע הקריפטוגרפי Monero על מכשירים נגועים. בנוסף, הבוטנט מתקין מעטפת אינטרנט דרך שרת ה-Apache, מה שמאפשר לתוקפים להוריד קבצים נוספים ולהפעיל פקודות שרירותיות. החוקרים מציינים כי נוכחותם של קריפטומינרים במערכת, כמו אלו בקמפיינים של Prometei, עשויה להצביע על התקפות חמורות יותר. כפי שציין סטפן הילט של טרנד מיקרו, רשת בוט הופכת לעתים קרובות למבשר לאיומים אחרים, כפי שכבר נראה עם למון דאק, שילוב של חטיפת קריפטו וסחיטה. השם "פרומטאי" מתייחס לפרומתאוס המיתולוגי, שהכבד שלו התחדש מדי יום מהתקפות של הנשר, מזכיר באופן סמלי את התמדה של הבוטנט גם לאחר ניסיונות לחסל אותו.
