Las amenazas detrás de la botnet Smominru comprometieron a casi 90,000 computadoras con Windows en el último mes al utilizar EternalBlue exploit y realizar ataques de fuerza bruta en servicios MS-SQL, RDP, Telnet.
El investigador descubrió que la botnet infectaba más de 4000 sistemas, conectaba redes a diario y tomaba el control explotando las vulnerabilidades en los sistemas no parcheados.
La botnet Smominru se dirige a los orígenes, incluidos China, Taiwán, Rusia, Brasil y los EE. UU., Donde se infectaron varios miles de sistemas, incluidas instituciones educativas, empresas médicas e incluso algunas de las compañías de ciberseguridad.
Los ciberdelincuentes no se centran en ningún objetivo en particular, han iniciado el ataque y han alcanzado víctimas en varios sectores en todos los sistemas que tienen servidores vulnerables.
La botnet Smominru se distribuye con capacidades de gusanos, por lo que si infecta a cualquiera de los sistemas de la red, entonces muévase a otras redes de la organización.
La firma de ciberseguridad Guadicode comparte los informes con GBHackers sobre seguridad y dice: «En un mes, más de 4,900 redes fueron infectadas por el gusano». Muchas de estas redes tenían docenas de máquinas internas infectadas. La red más grande pertenece a un proveedor de atención médica en Italia con un total de 65 hosts infectados. «
Windows 7 y Windows Server 2008 son los sistemas más infectados con el 85% de todas las infecciones, y estas versiones son muy vulnerables a la explotación de ExternalBlue.
¿Cómo afecta el sistema Smominru Botnet al sistema?
Los atacantes detrás de Smoninru usan el script Powershell llamado blueps.txt que deja caer la máquina de la víctima como la primera etapa de infección y comienza a ejecutar los archivos binarios y también realiza varias operaciones.
Más tarde, crea un nuevo usuario administrador que nombra admin $ y descarga los scripts adicionales para realizar el proceso malicioso.
También abre varias puertas traseras desde el dispositivo infectado para realizar diferentes operaciones, como usuarios recién creados, tareas programadas.
La botnet Smominru desactiva y bloquea las otras campañas en la máquina infectada y elimina el archivo asociado de la campaña maliciosa existente.
«Durante el proceso de infección, la botnet bloquea varios puertos TCP (SMB, RPC) para evitar que otros atacantes infrinjan sus propias máquinas infectadas».
Smominru Botnet Worm Module
Como discutimos anteriormente, los archivos binarios que cayeron por blueps.txt contienen varios programas maliciosos que incluyen el descargador de gusanos ( u.exe / ups.exe ), un caballo de Troya ( upsupx.exe ) y un rootkit MBR ( max.exe / ok. exe ).
Un módulo de gusano u.exe es responsable de descargar las DLL desde el servidor de comando y control para escanear la red para encontrar las vulnerabilidades e informar sobre el ataque.
Atacante que utiliza los datos para personalizar el gusano y agregar, modificar y eliminar técnicas de propagación.
Según la investigación de Guardicore , el gusano es un archivo ejecutable descargado como wpd.jpg y guardado localmente como msinfo.exe . Este es el módulo responsable de distribuir las cargas maliciosas dentro de la red, utilizando un exploit EternalBlue basado en Python y la fuerza bruta de múltiples servicios de Windows, como MS-SQL, Telnet, RDP y más.
Otro archivo ejecutable suelta el troyano de código abierto llamado PcShare que es capaz de descargar y ejecutar, ordenar y controlar, capturar capturas de pantalla y robar información, y también se utiliza principalmente para descargar el minero Monecrypto.
Los actores de la amenaza detrás de este ataque utilizaron casi 20 servidores como parte de la red de bots y la mayoría de los servidores alojados en los EE. UU., Algunos de ellos fueron alojados por ISP en Malasia y Bulgaria.
“La difusión de Smominru se basa en gran medida en contraseñas débiles, pero también se basa en la existencia de máquinas vulnerables a EternalBlue. Los sistemas sin parches permiten que la campaña infecte innumerables máquinas en todo el mundo y se propague dentro de las redes internas ”. Se recomienda encarecidamente actualizar el sistema y aplicar el parche necesario. Guardcore dijo.
Fuente: gbhackers.com
