Smominru Botnet Meretas Lebih Dari 90.000 Komputer Hanya Bulan Terakhir


Perangkat yang terhubung dengan internet yang tidak aman telah membantu berbagai jenis kejahatan dunia maya selama bertahun-tahun, yang paling umum adalah kampanye DDoS dan spam. Tapi penjahat cyber sekarang telah beralih ke skema yang menguntungkan di mana botnet tidak hanya meluncurkan DDoS atau spam – mereka juga menambang cryptocurrency.

Smominru, bot cryptocurrency terkenal dan mencuri kredensial, telah menjadi salah satu virus komputer yang menyebar cepat yang sekarang menginfeksi lebih dari 90.000 mesin setiap bulan di seluruh dunia.

Meskipun kampanye yang meretas komputer dengan botnet Smominru belum dirancang untuk mengejar target dengan minat khusus, laporan terbaru dari para peneliti Guardicore Labs menjelaskan sifat korban dan infrastruktur serangan.

Menurut para peneliti, hanya bulan lalu, lebih dari 4.900 jaringan terinfeksi oleh worm tanpa diskriminasi, dan banyak dari jaringan ini memiliki puluhan mesin internal yang terinfeksi.

Jaringan yang terinfeksi meliputi institusi pendidikan tinggi yang berpusat di AS, perusahaan medis, dan bahkan perusahaan cybersecurity, dengan jaringan terbesar milik penyedia layanan kesehatan di Italia dengan total 65 host yang terinfeksi.

Aktif sejak 2017, kompromi botnet Smominru Windows mesin terutama menggunakan EternalBlue, eksploitasi yang dibuat oleh A.S. Badan Keamanan Nasional tetapi kemudian bocor ke publik oleh kelompok peretas Shadow Brokers dan kemudian paling terkenal digunakan oleh serangan ransomware WannaCry yang memukul keras pada tahun 2016.

Botnet juga telah dirancang untuk mendapatkan akses awal pada sistem yang rentan dengan hanya memaksa kredensial yang lemah untuk berbeda Windows layanan, termasuk MS-SQL, RDP, dan Telnet.

smominru botnet
Setelah mendapatkan akses awal ke sistem yang ditargetkan, Smominru memasang modul Trojan dan penambang cryptocurrency dan menyebar di dalam jaringan untuk memanfaatkan kekuatan CPU PC korban untuk menambang Monero dan mengirimkannya ke dompet milik operator malware.

Sebulan yang lalu, juga terungkap bahwa operator di belakang botnet meningkatkan Smominru untuk menambahkan modul pemanenan data dan Remote Access Trojan (RAT) ke kode penambangan cryptocurrency botnet mereka.

Varian terbaru dari Smominru mengunduh dan menjalankan setidaknya 20 skrip berbahaya dan muatan biner, termasuk pengunduh worm, trojan horse, dan rootkit MBR.

"Para penyerang membuat banyak pintu belakang pada mesin dalam fase serangan yang berbeda. Ini termasuk pengguna yang baru dibuat, tugas yang dijadwalkan, objek WMI dan layanan yang ditetapkan untuk dijalankan pada saat boot," kata para peneliti.

Menurut laporan baru, para peneliti Guardicore Labs mengatakan mereka berhasil mendapatkan akses ke salah satu server inti penyerang, yang menyimpan informasi korban dan kredensial curian mereka, dan melihat lebih dekat pada sifat para korban.

"Log penyerang menggambarkan setiap host yang terinfeksi; mereka termasuk alamat IP eksternal dan internal, sistem operasi yang dijalankannya dan bahkan beban pada CPU sistem. Mimikatz, "kata para peneliti.

"Guardicore Labs telah memberi tahu para korban yang dapat diidentifikasi dan memberi mereka rincian mesin mereka yang terinfeksi."

Botnet menginfeksi mesin yang rentan – sebagian besar sedang berjalan Windows 7 dan Windows Server 2008 – dengan laju 4.700 mesin per hari dengan beberapa ribu infeksi terdeteksi di negara-negara termasuk Cina, Taiwan, Rusia, Brasil, dan AS.

Mayoritas dari mesin yang terinfeksi ditemukan terutama server kecil, dengan 1-4 core CPU, membuat sebagian besar dari mereka tidak dapat digunakan karena kelebihan penggunaan CPU mereka dengan proses penambangan.

malware smominru botnet
Analisis oleh para peneliti juga mengungkapkan bahwa seperempat dari korban Smominru diinfeksi ulang oleh worm, menunjukkan bahwa mereka "berusaha untuk membersihkan sistem mereka tanpa memperbaiki masalah akar penyebab yang membuat mereka rentan di tempat pertama."

Tidak seperti varian Smominru sebelumnya, varian baru juga menghilangkan infeksi dari sistem yang dikompromikan, jika ada, yang ditambahkan oleh kelompok penjahat dunia maya lainnya, bersama dengan memblokir port TCP (SMB, RPC) dalam upaya untuk mencegah penyerang lain dari pelanggaran yang terinfeksi. mesin.

Peneliti Guardicore juga telah merilis daftar lengkap IoC (indikator kompromi) dan skrip Powershell gratis di GitHub yang dapat Anda jalankan dari Windows antarmuka baris perintah untuk memeriksa apakah sistem Anda terinfeksi oleh cacing Smominru atau tidak.

Karena worm Smominru memanfaatkan eksploitasi EternalBlue dan kata sandi yang lemah, pengguna disarankan untuk terus memperbarui sistem dan perangkat lunak mereka dan tetap menggunakan kata sandi yang kuat, kompleks dan unik untuk menghindari menjadi korban dari ancaman tersebut.

Selain itu, untuk sebuah organisasi, juga penting untuk memiliki langkah-langkah keamanan tambahan, seperti "menerapkan segmentasi jaringan dan meminimalkan jumlah server yang menghadapi internet.

Pos terkait

Back to top button