Botnet Smominru infecta 4,7 mil computadores por dia

Botnet Smominru tem como objetivo computadores Windows que usam EternalBlue, o exploit que desencadeou os surtos do WannaCry e NotPetya.

Ativo desde 2017, o Smominru se tornou um dos malwares de computador com a mais rápida expansão, de acordo com dados deste relatório. Em 2019, ele conseguiu infectar um total de 90 mil computadores apenas no mês de agosto, com uma infecção média de até 4,7 mil computadores por dia. China, Taiwan, Rússia, Brasil e Estados Unidos foram os países mais afetados, mas isso não significa que outros estejam longe do alcance. Por exemplo, a maior rede que sofreu o ataque Smominru está na Itália, com 65 servidores infectados.

Como se propaga a botnet Smominru

Os cibercriminosos não têm um objetivo definido; de fato, os ataques online variam de universidades a profissionais de saúde. No entanto, deve-se observar que aproximadamente 85% das infecções por esse malware ocorre nos sistemas Windows Server 2008 e 7. A porcentagem dos demais casos pertence ao Server 2012, XP e Server 2003.

Após remover o Smominru, aproximadamente um quarto dos computadores afetados foi infectado novamente. Ou seja, algumas vítimas limparam seus sistemas, mas ignoraram completamente a causa principal.

Isso nos faz pensar qual é a origem. A botnet usa vários métodos de propagação, mas primeiro sempre infecta o sistema por meio de credenciais fracas de diferentes serviços do Windows pela força bruta ou, o que é mais comum, com a ajuda do famoso exploit EternalBlue.

Em 2017, a Microsoft corrigiu a vulnerabilidade que explora o EternalBlue e tornou possível o surto do WannaCry e do NotPetya mesmo para sistemas descontinuados, porém muitas empresas ignoram essas atualizações.

A botnet Smominru em ação

Após comprometer o sistema, o malware Smominru cria um novo usuário, admin$, com privilégios de administrador e começa a baixar arquivos maliciosos. O objetivo mais óbvio desse ciberataque é usar secretamente computadores infectados para mineração de criptomoeda (especificamente Monero) às custas da vítima.

No entanto, isso não é tudo: o malware também baixa uma série de módulos usados ​​para espionagem, exfiltração de dados e roubo de credenciais. Para piorar a situação, uma vez que Smominru consegue se infiltrar, ele tenta se dispersar pela rede para infectar todos os sistemas que conseguir.

Um detalhe interessante: a rede de bots Smominru é muito competitiva e se livra de qualquer rival que esteja no computador infectado. Ou seja, ele não apenas desativa e bloqueia qualquer outra atividade maliciosa executada no dispositivo da vítima, como também evita a infecção por parte de qualquer outro golpista.

A infraestrutura de ataque

A botnet depende de mais de 20 servidores dedicados, a maioria se encontra nos Estados Unidos, como outros estão espalhados na Malásia e Bulgária.

Como a infraestrutra de ciberataque está dispersa em larga escala, é complexa e altamente flexível, é muito complicado desfazê-la com facilidade, é muito difícil se livrar dele facilmente, portanto parece que  ficará ativa por algum tempo.

Como proteger sua rede, seus computadores e seus dados contra o malware Smominru:

Dicas