La botnet di criptovaluta e di furto di credenziali, Smominru, è diventata uno dei virus informatici in rapida diffusione. Durante il mese di agosto ha infettato 90.000 macchine in tutto il mondo, con un tasso di infezione di 4.700 macchine al giorno. I paesi con diverse migliaia di macchine infette includono Cina, Taiwan, Russia, Brasile e Stati Uniti.
I ricercatori di Guardicore Labs che seguono Smominru e le sue diverse varianti – Hexmen e Mykings – dal 2017, hanno pubblicato un’analisi approfondita della campagna, concentrandosi sull’analisi delle vittime e sull’infrastruttura di attacco.
L’attacco compromette le macchine Windows utilizzando un exploit EternalBlue e una forza bruta su vari servizi, tra cui MS-SQL, RDP, Telnet e altri. Nella sua fase post-infezione, ruba le credenziali della vittima, installa un modulo Trojan e un cryptominer e si propaga all’interno della rete.
Durante il mese di agosto, la botnet Smominru ha infettato 90.000 macchine. Poiché gli attacchi non erano mirati, le vittime interessate riguardano vari settori; le reti infette includono istituti di istruzione superiore con sede negli Stati Uniti, studi medici e persino società di sicurezza informatica. Una volta che ha preso piede, Smominru tenta di muoversi lateralmente e infettare quante più macchine possibile all’interno dell’organizzazione. Molte delle reti avevano infettato dozzine di macchine interne. La più grande rete appartiene a un operatore sanitario in Italia con un totale di 65 host infetti.
Le macchine infette sono principalmente piccoli server, con 1-4 core di CPU, ma c’erano anche alcuni server più grandi. Sono state trovate più di 200 macchine con più di 8 core. Secondo i ricercatori, un quarto delle vittime è stato reinfettato dal worm. Ciò suggerisce che le vittime hanno tentato di ripulire i loro sistemi senza risolvere il problema della causa principale che li ha resi vulnerabili in primo luogo.
La botnet compromette le macchine usando vari metodi, tra cui spiccano l’exploit EternalBlue e la forza bruta di diversi servizi e protocolli, come MS-SQL, RDP e Telnet. Questa sezione si concentrerà sul flusso di attacco EternalBlue.
Gli attaccanti creano molte backdoor sulla macchina in diverse fasi dell’attacco, inclusi utenti appena creati, attività pianificate, oggetti WMI e servizi impostati per essere eseguiti all’avvio. Il flusso di attacco MS-SQL include un metodo di persistenza univoco; gli aggressori utilizzano l’oscuro motore di pianificazione delle attività all’interno di MS-SQL per eseguire lavori a intervalli di tempo diversi, ad esempio al riavvio, ogni 30 minuti, ecc.
Smominru tende a utilizzare una vasta raccolta di payload durante l’attacco. Nella sua attuale iterazione, scarica ed esegue quasi venti script distinti e payload binari. L’infrastruttura di archiviazione è ampiamente distribuita; più di 20 server sono utilizzati come parte degli attacchi. Ogni macchina serve pochi file, con ogni file che fa riferimento a 2-3 server aggiuntivi. Molti file sono archiviati su più di un server di hosting, rendendo l’infrastruttura di attacco flessibile e abbastanza resistente agli abbattimenti.
A differenza della tipica botnet, la maggior parte delle macchine sono server dedicati utilizzati dagli aggressori piuttosto che server vittima riproposti. Queste macchine sono principalmente ospitate negli Stati Uniti, alcune delle quali ospitate da ISP in Malesia e Bulgaria. Una parte significativa degli attacchi proviene da ISP occidentali.
“La diffusione di Smominru si basa fortemente su password deboli, ma dipende anche dall’esistenza di macchine vulnerabili EternalBlue. I sistemi senza patch consentono alla campagna di infettare innumerevoli macchine in tutto il mondo e propagarsi all’interno delle reti interne. Pertanto, è fondamentale allineare i sistemi operativi con gli aggiornamenti software attualmente disponibili. Tuttavia, l’applicazione di patch non è mai così semplice come indicato. Pertanto, è estremamente importante applicare ulteriori misure di sicurezza nel data center o nell’organizzazione”.
