Botnet smominru infecta 4,7 mil computadores por dia

O Smominru, que está ativo desde 2017, se tornou um dos malwares de computador com a mais rápida expansão. Em 2019, ele conseguiu infectar um total de 90 mil computadores apenas no mês de agosto, com uma infecção média de até 4,7 mil computadores por dia. China, Taiwan, Rússia, Brasil e Estados Unidos foram os países mais afetados, mas isso não significa que outros estejam longe do alcance. Por exemplo, a maior rede que sofreu o ataque Smominru está na Itália, com 65 servidores infectados.

Como se propaga a botnet Smominru

Os hackers não têm um objetivo definido - os ataques online variam de universidades a profissionais de saúde. Entretanto, deve-se observar que aproximadamente 85% das infecções por esse malware ocorre nos sistemas Windows Server 2008 e 7. A porcentagem dos demais casos pertence ao Server 2012, XP e Server 2003.

Após remover o Smominru, aproximadamente 1/4 dos computadores afetados foi infectado novamente, ou seja, algumas vítimas limparam seus sistemas, mas ignoraram completamente a causa principal.

A botnet usa vários métodos de propagação, mas primeiro infecta o sistema por meio de credenciais fracas de diferentes serviços do Windows pela força bruta ou com a ajuda do famoso exploit EternalBlue.

Em 2017, a Microsoft corrigiu a vulnerabilidade que explora o EternalBlue e tornou possível o surto do WannaCry e do NotPetya mesmo para sistemas descontinuados, porém muitas empresas ignoram essas atualizações.

A botnet Smominru em ação

Após comprometer o sistema, o malware Smominru cria um novo usuário, com privilégios de administrador e começa a baixar arquivos maliciosos. O objetivo mais óbvio desse ciberataque é usar secretamente computadores infectados para mineração de criptomoeda (especificamente Monero) às custas da vítima.

Contudo, o malware também baixa uma série de módulos usados para espionagem, exfiltração de dados e roubo de credenciais. Para piorar a situação, uma vez que Smominru consegue se infiltrar, ele tenta se dispersar pela rede para infectar todos os sistemas que conseguir.

A infraestrutura de ataque

A botnet depende de mais de 20 servidores dedicados, a maioria se encontra nos Estados Unidos, como outros estão espalhados na Malásia e Bulgária. Como a infraestrutra de ciberataque está dispersa em larga escala, é complexa e altamente flexível, é muito complicado desfazê-la com facilidade, é muito difícil se livrar dele facilmente, portanto parece que ficará ativa por algum tempo.

Como proteger a rede da sua empresa, seus computadores e seus dados contra o malware Smominru:

• Atualize sistemas operacionais e software regularmente.
• Use senhas fortes. Um gerenciador de senhas confiável ajuda a criar, gerenciar e recuperar e inserir senhas automaticamente. Isso irá protegê-lo contra ataques de força bruta.
• Use uma solução de segurança confiável. Fale com um de nosso especialistas.

Fonte