La botnet Smominru hackeó más de 90,000 computadoras el mes pasado
Los dispositivos inseguros conectados a Internet han ayudado a diferentes tipos de delitos informáticos durante años, siendo los más comunes las campañas de DDoS y spam.
Pero los ciberdelincuentes ahora se han desplazado hacia un esquema rentable donde las botnets no solo lanzan DDoS o spam, sino que también minan criptomonedas.
Smominru, una perversa botnet de minería de criptomonedas y robo de credenciales, se ha convertido en uno de los virus informáticos de más rápida propagación, que actualmente infecta a más de 90,000 máquinas cada mes en todo el mundo.
Aunque las campañas que están hackeando computadoras con la botnet Smominru no han sido diseñadas para perseguir objetivos con ningún interés específico, el último informe de los investigadores de Guardicore Labs arroja luz sobre la naturaleza de las víctimas y la infraestructura de los ataques.
Según los investigadores, el mes pasado, más de 4,900 redes fueron infectadas por el malware sin discriminación alguna, y muchas de estas redes tenían docenas de máquinas internas infectadas.
Las redes infectadas incluyen instituciones de educación superior con sede en los Estados Unidos, empresas médicas e incluso compañías de ciberseguridad; la red más grande pertenece a un proveedor de atención médica en Italia, con un total de 65 hosts infectados.
Activa desde 2017, la botnet Smominru compromete las máquinas de Windows que utilizan principalmente EternalBlue, un exploit creado por la Agencia de Seguridad Nacional de los Estados Unidos.
Este luego fue filtrado al público por el grupo de hacking Shadow Brokers y luego fue el más utilizado por el ataque de ransomware WannaCry en 2016.
La botnet también se ha diseñado para obtener acceso inicial en sistemas vulnerables, simplemente forzando credenciales débiles para diferentes servicios de Windows, incluidos MS-SQL, RDP y Telnet.
Funcionamiento
Una vez que obtiene acceso inicial a los sistemas de destino, Smominru instala un módulo troyano y un minero de criptomonedas y se propaga dentro de la red para aprovechar la potencia de la CPU de las PC de las víctimas.
Todo lo anterior con el fin de extraer Monero y enviarlo a una billetera propiedad del operador del malware.
Hace un mes, también se reveló que los operadores detrás de la botnet actualizaron Smominru, con el propósito de agregar un módulo de recolección de datos y un troyano de acceso remoto (RAT) al código de minería de criptomonedas de la botnet.
La última variante de Smominru descarga y ejecuta al menos 20 scripts maliciosos distintos y payloads binarios, incluido un descargador de gusanos, un troyano y un rootkit MBR.
“Los atacantes crean muchas puertas traseras en la máquina en diferentes fases del ataque. Estos incluyen usuarios recién creados, tareas programadas, objetos WMI y servicios configurados para ejecutarse en el momento del arranque”, afirman los investigadores.
Según el nuevo informe, los investigadores de Guardicore Labs dijeron que lograron obtener acceso a uno de los servidores centrales de los atacantes, que almacena información de las víctimas y sus credenciales robadas, y observaron más de cerca la naturaleza de las víctimas.
“Los registros de los atacantes describen cada host infectado; incluyen sus direcciones IP externas e internas, el sistema operativo que ejecuta e incluso la carga en las CPU del sistema. Además, los atacantes intentan recopilar los procesos en ejecución y robar credenciales utilizando Mimikatz”, aseguran los investigadores.
Victimas notificadas
“Guardicore Labs ha informado a las víctimas identificables y les ha proporcionado los detalles de sus máquinas infectadas”.
La botnet está infectando máquinas vulnerables, la mayoría de las cuales ejecuta Windows 7 y Windows Server 2008, a una velocidad de 4,700 máquinas por día con varios miles de infecciones detectadas en países como China, Taiwán, Rusia, Brasil y Estados Unidos.
La mayoría de las máquinas infectadas descubiertas eran principalmente servidores pequeños, con 1-4 núcleos de CPU, lo que dejaba la mayoría de ellos inutilizables debido a la sobreutilización de sus CPU con el proceso de minería.
El análisis de los investigadores también reveló que una cuarta parte de las víctimas de Smominru fue reinfectada por el malware, lo que sugiere que “intentaron limpiar sus sistemas sin solucionar el problema desde la raíz que los dejó vulnerables en un primer momento.”.
A diferencia de las variantes anteriores de Smominru, la nueva variante también elimina las infecciones de los sistemas comprometidos, si las hay, que son agregadas por otros grupos ciberdelincuentes, junto con el bloqueo de los puertos TCP (SMB, RPC), en un intento por evitar que otros atacantes vulneren su infección en las máquinas.
Contramedidas
Los investigadores de Guardicore también han publicado una lista completa de IoC (indicadores de compromiso) y un script Powershell gratuito en GitHub, que puedes ejecutar desde tu interfaz de línea de comandos de Windows.
Dichos scripts sirven para verificar si tu sistema está infectado con el malware Smominru o no.
Dado que el malware Smominru aprovecha el exploit EternalBlue y las contraseñas débiles, se recomienda a los usuarios que mantengan sus sistemas y software actualizados y se adhieran a contraseñas fuertes, complejas y únicas para evitar ser víctimas de tales amenazas.
Además de esto, para una organización, también es esencial contar con medidas de seguridad adicionales, como “aplicar la segmentación de la red y minimizar la cantidad de servidores con conexión a Internet”.
