Smominru, печально известный ботнет по добыче криптовалюты и краже учетных данных, стал одним из быстро распространяющихся компьютерных вирусов, который теперь каждый месяц заражает более 90 000 компьютеров по всему миру.
Хотя кампании по взлому компьютеров с помощью бот-сети Smominru не были рассчитаны на то, чтобы преследовать цели с каким-либо конкретным интересом, последний отчет исследователей из Guardicore Labs пролил свет на природу жертв и инфраструктуру атаки.
По словам исследователей, только в прошлом месяце более 4900 сетей были заражены червем без какой-либо дискриминации, и во многих из этих сетей были заражены десятки внутренних машин.
Зараженные сети включают расположенные в США высшие учебные заведения, медицинские фирмы и даже компании, занимающиеся кибербезопасностью, с крупнейшей сетью, принадлежащей поставщику медицинских услуг в Италии, с общим числом зараженных хостов в 65 человек.
Активный с 2017 года, Smominru ботнет компрометирует машины Windows , в первую очередь с использованием EternalBlue , эксплойт , который был создан Агентством национальной безопасности США , но позже получил просочилась к общественности со стороны теневых брокеров взлома группы , а затем наиболее классно используемый нелицеприятной WannaCry вымогателей атаки в 2016 году
Месяц назад стало известно, что операторы ботнета обновили Smominru, добавив модуль сбора данных и трояна удаленного доступа (RAT) в код своего криптовалюты для ботнетов.
Последний вариант Smominru загружает и запускает не менее 20 различных вредоносных сценариев и двоичных полезных данных, включая загрузчика червя , троянского коня и руткита MBR.
«Злоумышленники создают множество« черных дверей »на компьютере на разных этапах атаки. К ним относятся вновь созданные пользователи, запланированные задачи, объекты WMI и службы, настроенные для запуска во время загрузки», - говорят исследователи.
Согласно новому отчету, исследователи из Guardicore Labs сообщили, что им удалось получить доступ к одному из основных серверов злоумышленников, на котором хранится информация о жертвах и их украденные учетные данные, и более внимательно изучили природу жертв.
«Журналы злоумышленников описывают каждый зараженный хост; они включают в себя его внешние и внутренние IP-адреса, операционную систему, на которой он работает, и даже нагрузку на центральный процессор (ы) системы. Более того, злоумышленники пытаются собрать запущенные процессы и украсть учетные данные, используя Мимикац ", говорят исследователи.
«Guardicore Labs проинформировала опознаваемых жертв и предоставила им подробную информацию об их зараженных машинах».
Ботнут заражают уязвимые машины, большинство из которых работает Windows 7 и Windows Server 2008, со скоростью 4700 машин в день с несколькими тысячами заражений в странах , включая Китай, Тайвань, Россию, Бразилию и США
В отличие от предыдущих вариантов Smominru, новый вариант также удаляет заражения из скомпрометированных систем, если таковые имеются, которые добавляются другими киберпреступными группами, а также блокирует порты TCP (SMB, RPC), пытаясь предотвратить проникновение зараженных других атакующих. машины.
Исследователи Guardicore также выпустили полный список IoC (индикаторов компрометации) и бесплатный скрипт Powershell на GitHub , который можно запустить из интерфейса командной строки Windows, чтобы проверить, заражена ли ваша система червем Smominru или нет.
Поскольку червь Smominru использует эксплойт EternalBlue и слабые пароли, пользователям рекомендуется обновлять свои системы и программное обеспечение и придерживаться надежных, сложных и уникальных паролей, чтобы не стать жертвой таких угроз.
Помимо этого, для организации также важно иметь дополнительные меры безопасности, такие как «применение сегментации сети и минимизация количества интернет-серверов.
