Los dispositivos inseguros conectados a Internet han ayudado a diferentes tipos de delitos informáticos durante años, siendo los más comunes las campañas de DDoS y spam. Pero los ciberdelincuentes ahora se han desplazado hacia un esquema rentable donde las botnets no solo lanzan DDoS o spam, sino que también extraen criptomonedas.
Smominru, una infame botnet de minería de criptomonedas y robo de credenciales, se ha convertido en uno de los virus informáticos de rápida propagación que ahora infecta a más de 90,000 máquinas cada mes en todo el mundo.
Aunque las campañas que están pirateando computadoras con la botnet Smominru no han sido diseñadas para perseguir objetivos con ningún interés específico, el último informe de los investigadores de Guardicore Labs arroja luz sobre la naturaleza de las víctimas y la infraestructura del ataque.
Según los investigadores, el mes pasado, más de 4,900 redes fueron infectadas por el gusano sin discriminación alguna, y muchas de estas redes tenían docenas de máquinas internas infectadas.
Las redes infectadas incluyen instituciones de educación superior con sede en los EE. UU., Empresas médicas e incluso compañías de ciberseguridad, con la red más grande perteneciente a un proveedor de atención médica en Italia con un total de 65 hosts infectados.
Activo desde 2017, la botnet Smominru compromete las máquinas de Windows que utilizan principalmente EternalBlue , un exploit creado por la Agencia de Seguridad Nacional de los EE. UU., Pero que luego fue filtrado al público por el grupo de piratería Shadow Brokers y luego el más utilizado por el ataque de ransomware WannaCry. en 2016.
La botnet también se ha diseñado para obtener acceso inicial en sistemas vulnerables simplemente forzando credenciales débiles para diferentes servicios de Windows, incluidos MS-SQL, RDP y Telnet.
Una vez que obtiene acceso inicial a los sistemas específicos, Smominru instala un módulo troyano y un minero de criptomonedas y se propaga dentro de la red para aprovechar la potencia de la CPU de las PC de las víctimas para extraer Monero y enviarlo a una billetera propiedad del operador del malware.
Hace un mes, también se reveló que los operadores detrás de la botnet actualizaron Smominru para agregar un módulo de recolección de datos y un troyano de acceso remoto (RAT) al código de minería de criptomonedas de su botnet.
La última variante de Smominru descarga y ejecuta al menos 20 scripts maliciosos distintos y cargas binarias, incluido un descargador de gusanos , un troyano y un rootkit MBR.
«Los atacantes crean muchas puertas traseras en la máquina en diferentes fases del ataque. Estos incluyen usuarios recién creados, tareas programadas, objetos WMI y servicios configurados para ejecutarse en el momento del arranque», dicen los investigadores.
Según el nuevo informe, los investigadores de Guardicore Labs dijeron que lograron obtener acceso a uno de los servidores centrales de los atacantes, que almacena información de las víctimas y sus credenciales robadas, y observaron más de cerca la naturaleza de las víctimas.
«Los registros de los atacantes describen cada host infectado; incluyen sus direcciones IP externas e internas, el sistema operativo que ejecuta e incluso la carga en las CPU del sistema. Además, los atacantes intentan recopilar los procesos en ejecución y robar credenciales utilizando Mimikatz «, dicen los investigadores.
«Guardicore Labs ha informado a las víctimas identificables y les ha proporcionado los detalles de sus máquinas infectadas».
La botnet está infectando máquinas vulnerables, la mayoría de las cuales ejecuta Windows 7 y Windows Server 2008, a una velocidad de 4,700 máquinas por día con varios miles de infecciones detectadas en países como China, Taiwán, Rusia, Brasil y la
mayoría de los EE. UU. Las máquinas infectadas descubiertas eran principalmente servidores pequeños, con 1-4 núcleos de CPU, lo que dejaba la mayoría de ellos inutilizables debido a la sobreutilización de sus CPU con el proceso de minería.
El análisis de los investigadores también reveló que una cuarta parte de las víctimas de Smominru fue reinfectada por el gusano, lo que sugiere que «intentaron limpiar sus sistemas sin solucionar el problema de la causa raíz que los dejó vulnerables en primer lugar».
A diferencia de las variantes anteriores de Smominru, la nueva variante también elimina las infecciones de los sistemas comprometidos, si las hay, que son agregadas por otros grupos ciberdelincuentes, junto con el bloqueo de los puertos TCP (SMB, RPC) en un intento por evitar que otros atacantes infrinjan su infección maquinas.
Los investigadores de Guardicore también han publicado una lista completa de IoC (indicadores de compromiso) y un script Powershell gratuito en GitHub que puede ejecutar desde su interfaz de línea de comandos de Windows para verificar si su sistema está infectado con el gusano Smominru o no.
Dado que el gusano Smominru aprovecha el exploit EternalBlue y las contraseñas débiles, se recomienda a los usuarios que mantengan sus sistemas y software actualizados y se adhieran a contraseñas fuertes, complejas y únicas para evitar ser víctimas de tales amenazas.
Además de esto, para una organización, también es esencial contar con medidas de seguridad adicionales, como «aplicar la segmentación de la red y minimizar la cantidad de servidores con conexión a Internet».
Fuente: thehackernews.com