botnet
Jak dowiadujemy się z publicznie dostępnego raportu, aktywne od 2017 roku Smominru jest obecnie jednym z najszybciej rozprzestrzeniających się szkodliwych programów dla komputerów. Tylko w sierpniu 2019 roku zainfekował on 90 tys. komputerów na całym świecie, docierając średnio do 4700 maszyn każdego dnia. Największa koncentracja ataków miała miejsce w Chinach, na Tajwanie, w Rosji, Brazylii oraz Stanach Zjednoczonych, jednak nie oznacza to, że pozostałe kraje mogą czuć się bezpiecznie. Największa sieć zainfekowana przez Smominru znajduje się we Włoszech — w jej skład wchodziło 65 hostów.
Jak rozprzestrzenia się botnet Smominru
Przestępcy nieszczególnie przebierają w ofiarach: wśród zaatakowanych znalazły się zarówno placówki oświatowe, jak i służby zdrowia. Łączy ich jednak jedno: około 85% infekcji miało miejsce w systemach Windows 7 oraz Windows Server 2008. Pozostały odsetek obejmuje: Windows Server 2012, Windows XP oraz Windows Server 2003.
Około jedna piąta komputerów uwolnionych od botnetu Smominru została zainfekowana ponownie. Sugeruje to, że chociaż niektóre ofiary wyczyściły swoje systemy, zapomniały o podstawowej przyczynie.
Rodzi to pytanie: co było podstawową przyczyną? Botnet wykorzystuje różne metody propagacji, lecz najpierw infekuje system poprzez jeden z dwóch sposobów: poprzez siłowe złamanie słabych danych logowania do różnych usług Windows lub (częściej) wykorzystując niesławny exploit EternalBlue.
Mimo że firma Microsoft załatała w 2017 roku lukę wykorzystywaną przez zagrożenie EternalBlue, która była odpowiedzialna za epidemię WannaCry i NotPetya (nawet na systemach, dla których nie oferowała już wsparcia technicznego), wiele firm nadal ignoruje tę aktualizację.
Botnet Smominru w akcji
Po przedostaniu się do systemu Smominru tworzy nowego użytkownika o nazwie admin$, który posiada uprawnienia administratora w systemie, i rozpoczyna pobieranie wszelkiej maści szkodliwych ładunków. Najbardziej oczywistym celem jest potajemne użycie zainfekowanych komputerów do generowania kryptowalut (np. Monero) na koszt ofiary.
Jednak to nie wszystko: szkodliwy program pobiera także zestaw modułów służących do szpiegowania, zdobywania danych i kradzieży danych logowania. Ponadto Smominru próbuje dalej się rozprzestrzeniać w obrębie sieci, aby zainfekować tyle systemów, ile tylko zdoła.
Co ciekawe, botnet ten eliminuje wszelką konkurencję, jaką zidentyfikuje na zainfekowanym komputerze. A dokładniej, wyłącza i blokuje wszelkie inne szkodliwe działania na urządzeniu, a także uniemożliwia konkurencji dalsze infekowanie.
Infrastruktura ataku
Botnet wykorzystuje ponad 20 specjalistycznych serwerów, które przeważnie są zlokalizowane w Stanach Zjednoczonych, ale także w Malezji i Bułgarii. Infrastruktura ataku botnetu Smominru jest tak bardzo rozproszona, skomplikowana i elastyczna, że prawdopodobnie zamknięcie jej będzie zadaniem niełatwym, a zatem botnet ten przez jakiś czas będzie aktywny.
Jak zabezpieczyć swoją sieć, komputery i dane przed zagrożeniem Smominru:
- Regularnie aktualizuj systemy operacyjne i inne programy.
- Stosuj silne hasła. Niezwodny menedżer haseł pomoże Ci utworzyć, zarządzać, automatycznie uzyskiwać dostęp do haseł i wprowadzać je. Zapewni Ci to ochronę przed atakami siłowymi.
- Używaj niezawodnych rozwiązań zabezpieczających.
Porady