Botnet Smominru usando o Ethernal Blue infecta 4700 por dia

Botnet Smominru usando o Ethernal Blue infecta 4700 por dia. A Unidade de Análise de Ameaças (TAU – Threat Analysis Unit ) da Carbon Black e a CB ThreatSight descobriram o ressurgimento de uma campanha de botnet de criptomoedas anteriormente ativa chamada Smominru.

Esta campanha evoluiu desde a sua descoberta original no segundo semestre de 2017, alavancando novas técnicas, incluindo LOLbins, malware polimórfico, malware reembalado / modificado, explorações de código aberto, roubo de credenciais e extração de dados. A botnet consiste em vítimas globais, mas tem como alvo principal a Ásia e a Europa, mas inclui países como o Brasil e outros na região das Américas.

A campanha utiliza principalmente a digitalização Eternal Blue para movimento lateral. Embora de natureza complexa, a grande maioria dos comandos usados ​​pela campanha é codificada em base64 ou em texto simples

Fazem mais de dois anos que o mundo foi introduzido no EternalBlue, a exploração do Microsoft Windows que se acredita ter sido desenvolvida pela Agência de Segurança Nacional (NSA) e posteriormente vazada. Essa introdução inicial foi por meio do ataque de ransomware WannaCry, que se espalhou rapidamente pelo mundo. Infelizmente, parece que o EternalBlue que explora malwares ainda está vivo hoje e está chutando forte.

Embora a NSA não tenha avisado os usuários do Windows para atualizarem como fez com a recente exploração do worm BlueKeep, Smominru já se tornou global. Países com milhares de máquinas comprometidas incluem Brasil, China, Rússia, Taiwan e EUA. Mas a taxa de infecção em si é nada menos que impressionante.  A Kaspersky publicou um aviso para os usuários do Windows que ainda não corrigiram seus sistemas contra a exploração EternalBlue, apesar de a Microsoft disponibilizar a correção em 14 de março de 2017. Os usuários do Windows devem verificar este guia de suporte da atualização da Microsoft para verificar se o MS17-010 relevante atualização foi instalada.

Um relatório recente da Guardicore Labs descobriu que a Smominru está infectando sistemas Windows a uma taxa de 4.700 máquinas por dia.

Quando o worm botnet entrar em um sistema, ele se moverá lateralmente, sempre que possível, e infectará o maior número possível de máquinas dentro de uma organização. Em apenas um mês, cerca de 90.000 máquinas infectadas foram comprometidas. O Windows 7 e o Windows Server 2008 constituem a fatia mais significativa da torta de infecção do Windows. Cerca de 85% das máquinas comprometidas estavam executando uma ou outra, mas também se constatou que os usuários do Windows Server 2012, Windows XP e Windows Server 2003 eram em risco.

A Kaspersky, em atualização feita agora em outubro em seu blog, afirma que a botnet conta com mais de 20 servidores dedicados, a maioria localizados nos EUA, embora alguns estejam hospedados na Malásia e na Bulgária. A infraestrutura de ataque de Smominru, que é tão amplamente distribuída, complexa e altamente flexível, dificilmente será derrubada com facilidade, pelo que parece que a botnet ficará ativa por algum tempo.

Para proteger a rede a Kaspersky recomenda que:

  • Atualize sistemas operacionais e outros softwares regularmente.
  • Use senhas fortes. Um gerenciador de senhas confiável ajuda a criar, gerenciar, recuperar e inserir automaticamente senhas. Isso irá protegê-lo contra ataques de força bruta.
  • Use uma solução de segurança confiável.

Veja detalhes da ação no malware na página da Carbon Black 

Fonte: Forbes & Kaspersky & Carbon Black

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. 7 tendências perigosas para 2020 que precisam de atenção
  2. FATEC-SC abre inscrições para o curso de Segurança da Informação - Minuto da Segurança da Informação
  3. Samsung corrigi a falha do leitor de impressão digital Galaxy S10
  4. Everis e outras empresas espanholas sofrem ataque de ransomware

Deixe sua opinião!