Предназначенный для добычи криптовалюты и кражи учетных данных ботнет Smominru (также известен как Ismo) начал распространяться с невероятной скоростью. По словам исследователей из команды Guardicore Labs, ботнет каждый месяц заражает более 90 тыс. компьютеров по всему миру.

Только в августе нынешнего года более 4,9 тыс. сетей были заражены вредоносом. Кампания затронула расположенные в США высшие учебные заведения, медицинские фирмы и даже компании, занимающиеся кибербезопасностью, а также системы в Китае, Тайване, России и Бразилии. Большинство зараженных машин работают под управлением Windows 7 и Windows Server 2008 и представляют собой небольшие серверы с 1-4 ядрами ЦП, в результате чего многие из них оказались непригодным для использования из-за чрезмерной нагрузки на ЦП в процессе майнинга.

Ботнет Smominru с 2017 года компрометирует системы на базе Windows с помощью эксплоита EternalBlue, созданного Агентством национальной безопасности США, но позже обнародованного киберпреступной группировкой Shadow Brokers. Червь был разработан для получения доступа к уязвимым системам методом брутфорса различных служб Windows, включая MS-SQL, RDP и Telnet.

Оказавшись на системе, Smominru устанавливает троянское вредоносное ПО и майнер криптовалюты, распространяется внутри сети, и использует возможности ЦП компьютеров жертв для майнинга Monero и отправки его на кошелек злоумышленников.

Злоумышленники создают множество бэкдоров на компьютере на разных этапах атаки. К ним относятся новые созданные пользователи, запланированные задачи, объекты WMI и службы, настроенные для запуска во время загрузки. Исследователям удалось получить доступ к одному из основных серверов злоумышленников, на котором хранится информация о жертвах и их украденные учетные данные.

«Логи злоумышленников описывают каждую зараженную систему, включая информацию внешних и внутренних IP-адресах, операционной системе и нагрузке на центральный процессор. Более того, злоумышленники пытаются собрать информацию о запущенных процессах и украсть учетные данные, используя иструмент Mimikatz», — сообщают специалисты.

В отличие от предыдущих версий Smominru, новый вариант также удаляет следы заражения других киберпреступных группировок со скомпрометированных систем, а также блокирует TCP-порты (SMB, RPC), предотвращая проникновение конкурентов.

Источник: securitylab.ru