Botnet Smominru infekuje 4700 nowych komputerów każdego dnia

Zidentyfikowano nowy botnet, który rozprzestrzenia się poprzez exploit EternalBlue – ten sam, dla którego udostępniono aktualizację po epidemii WannaCry i NotPetya.

Jak dowiadujemy się z publicznie dostępnego raportu, aktywne od 2017 roku Smominru jest obecnie jednym z najszybciej rozprzestrzeniających się szkodliwych programów dla komputerów. Tylko w sierpniu 2019 roku zainfekował on 90 tys. komputerów na całym świecie, docierając średnio do 4700 maszyn każdego dnia. Największa koncentracja ataków miała miejsce w Chinach, na Tajwanie, w Rosji, Brazylii oraz Stanach Zjednoczonych, jednak nie oznacza to, że pozostałe kraje mogą czuć się bezpiecznie. Największa sieć zainfekowana przez Smominru znajduje się we Włoszech — w jej skład wchodziło 65 hostów.

Jak rozprzestrzenia się botnet Smominru

Przestępcy nieszczególnie przebierają w ofiarach: wśród zaatakowanych znalazły się zarówno placówki oświatowe, jak i służby zdrowia. Łączy ich jednak jedno: około 85% infekcji miało miejsce w systemach Windows 7 oraz Windows Server 2008. Pozostały odsetek obejmuje: Windows Server 2012, Windows XP oraz Windows Server 2003.

Około jedna piąta komputerów uwolnionych od botnetu Smominru została zainfekowana ponownie. Sugeruje to, że chociaż niektóre ofiary wyczyściły swoje systemy, zapomniały o podstawowej przyczynie.

Rodzi to pytanie: co było podstawową przyczyną? Botnet wykorzystuje różne metody propagacji, lecz najpierw infekuje system poprzez jeden z dwóch sposobów: poprzez siłowe złamanie słabych danych logowania do różnych usług Windows lub (częściej) wykorzystując niesławny exploit EternalBlue.

Mimo że firma Microsoft załatała w 2017 roku lukę wykorzystywaną przez zagrożenie EternalBlue, która była odpowiedzialna za epidemię WannaCry i NotPetya (nawet na systemach, dla których nie oferowała już wsparcia technicznego), wiele firm nadal ignoruje tę aktualizację.

Botnet Smominru w akcji

Po przedostaniu się do systemu Smominru tworzy nowego użytkownika o nazwie admin$, który posiada uprawnienia administratora w systemie, i rozpoczyna pobieranie wszelkiej maści szkodliwych ładunków. Najbardziej oczywistym celem jest potajemne użycie zainfekowanych komputerów do generowania kryptowalut (np. Monero) na koszt ofiary.

Jednak to nie wszystko: szkodliwy program pobiera także zestaw modułów służących do szpiegowania, zdobywania danych i kradzieży danych logowania. Ponadto Smominru próbuje dalej się rozprzestrzeniać w obrębie sieci, aby zainfekować tyle systemów, ile tylko zdoła.

Co ciekawe, botnet ten eliminuje wszelką konkurencję, jaką zidentyfikuje na zainfekowanym komputerze. A dokładniej, wyłącza i blokuje wszelkie inne szkodliwe działania na urządzeniu, a także uniemożliwia konkurencji dalsze infekowanie.

Infrastruktura ataku

Botnet wykorzystuje ponad 20 specjalistycznych serwerów, które przeważnie są zlokalizowane w Stanach Zjednoczonych, ale także w Malezji i Bułgarii. Infrastruktura ataku botnetu Smominru jest tak bardzo rozproszona, skomplikowana i elastyczna, że prawdopodobnie zamknięcie jej będzie zadaniem niełatwym, a zatem botnet ten przez jakiś czas będzie aktywny.

Jak zabezpieczyć swoją sieć, komputery i dane przed zagrożeniem Smominru:

  • Regularnie aktualizuj systemy operacyjne i inne programy.
  • Stosuj silne hasła. Niezwodny menedżer haseł pomoże Ci utworzyć, zarządzać, automatycznie uzyskiwać dostęp do haseł i wprowadzać je. Zapewni Ci to ochronę przed atakami siłowymi.
  • Używaj niezawodnych rozwiązań zabezpieczających.
Porady