Согласно данным из открытых источников, ботнет Smominru, активный с 2017 года, сейчас стал одним из самых быстро распространяющихся зловредов. Только в августе 2019 года он заразил 90 000 машин по всему миру. Ежедневно он захватывает до 4700 новых компьютеров. Основная масса атак пришлась на Китай, Тайвань, Россию, Бразилию и США, но это вовсе не означает, что эпидемия обошла стороной другие страны. Так, например, самая большая из атакованных Smominru сеть, где было заражено 65 хостов, находилась в Италии.
Как распространяется ботнет Smominru
Преступники, стоящие за атаками, не особенно разборчивы в выборе целей — жертвами становились самые разные организации, от университетов до здравоохранительных учреждений. Однако четко прослеживается один общий момент: около 85% заражений пришлось на системы под управлением Windows 7 и Windows Server 2008. Оставшаяся часть пришлась на Windows Server 2012, Windows XP и Windows Server 2003.
Примерно четверть зараженных машин была заражена повторно — после того, как Smominru был единожды удален. Иными словами, некоторые жертвы провели чистку своих систем, но проигнорировали первопричину проблемы.
Естественно, возникает вопрос: в чем же кроется эта самая первопричина? Для распространения ботнет использует несколько методов, но в основном заражение происходит одним из двух способов: либо за счет подбора учетных данных для различных служб Windows (brute force), либо с использованием печально известного эксплойта EternalBlue — именно этот вариант является наиболее распространенным.
Несмотря на то, что в 2017 году Microsoft выпустила (в том числе и для неподдерживаемых ОС) исправление используемой эксплойтом EternalBlue уязвимости, из-за которой вспыхнули эпидемии WannaCry и NotPetya, многие компании попросту игнорируют обновления, что и позволяет Smominru захватывать все больше компьютеров.
Ботнет Smominru в действии
После проникновения в систему Smominru создает нового пользователя admin$ с правами администратора и начинает загружать различную вредоносную нагрузку. Одной из самых очевидных задач зловреда является незаметное использование зараженных компьютеров для майнинга криптовалюты (Monero, если точнее).
Однако это еще не все. Зловред также загружает набор модулей, предназначенных для шпионажа и кражи учетных данных. Более того, обосновавшись в системе, Smominru пытается распространяться по сети дальше, стремясь заразить как можно больше систем.
Интересный момент: ботнет активно ведет конкурентную борьбу, уничтожая всех своих «соперников» на зараженном компьютере. Иными словами, он не только блокирует любую другую вредоносную активность на зараженном устройстве, но и предотвращает дальнейшее заражение зловредами-конкурентами.
Инфраструктура атаки
Работу ботнета поддерживают более чем 20 выделенных серверов, которые по большей части расположены в США, хотя некоторые также находятся в Малайзии и Болгарии. Инфраструктура Smominru является настолько широко рассредоточенной, сложной и гибкой, что вывести ее из строя будет далеко не самой простой задачей, поэтому следует ожидать, что ботнет будет активен и далее в течение довольно продолжительного времени.
Как защитить от Smominru вашу сеть, компьютеры и данные?
- Регулярно обновляйте операционные системы и другое программное обеспечение.
- Используйте сложные пароли. Хороший менеджер паролей поможет вам создавать надежные пароли, управлять ими и автоматически подставлять в формы. Это защитит вас от атак методом перебора (brute force).
- Используйте проверенное защитное решение.