Botnet Smominru infecta a mas de 500000 maquinas Windows
Más de 526000 ordenadores Windows principalmente de servidores Windows han sido infectado con software de minería de Moneo por un grupo que opera la mayor red de bots tales conocido hasta la fecha
Las operaciones de este grupo han sido conocidos por los investigadores de seguridad desde el año 2017, y varias compañías han publicado informes sobre su actividad. Debido a que la red de bots es tan masivo y generalizado, la mayoría de los informes anteriores cubren sólo una fracción de la totalidad de la operación del grupo.Los informes más recientes que han llegado al fondo de las cosas son de Qihoo 360 NetLab (botnet es nombrado MyKings) y Proofpoint (botnet es nombrado Smominru).
Otras empresas que publican informes sobre fracciones de la infraestructura y las operaciones de la red de bots incluyen GuardiCore, Trend Micro, Kaspersky, Panda Seguridad y CrowdStrike, sino también algunos investigadores independientes chinos.
strong>Smominru hizo alrededor de $ 2.3 millones
Poniendo todos estos datos juntos, tenemos un panorama general de la mayor red de bots minera visto hasta la fecha. La botnet ha infectado a más de 520.000 máquinas y ha hecho una masiva 8.900 Moneo ($ 2,3 millones) para sus operadores.
Los operadores Smominru están utilizando diferentes técnicas para infectar máquinas. Se basan principalmente en el uso de explotar EternalBlue (CVE-2017-0.144), pero también han desplegado EsteemAudit (CVE-2017-0176), ambas dirigidas a hacerse cargo de las máquinas que ejecuten los sistemas operativos de Windows sin parches.
Como GuardiCore señaló, la botnet también se ha dirigido a los servidores MySQL en máquinas Linux, sino también las bases de datos MSSQL en servidores Windows.
Tanto GuardiCore y NetLab observaron el grupo desplegar una variedad de cepas de malware en los hosts infectados, los robots de Mirai DDoS a puertas traseras, aunque su operación principal fue siempre la minería Moneo.
El total de víctimas podría ser alrededor de 1 millón
Según los datos recogidos después de sinkholing parte de la infraestructura de la red de bots, la mayoría de las víctimas se encuentran en Rusia, India, Taiwán, Ucrania y Brasil.Si bien la operación sinkholing arrojó resultados que permitieron Proofpoint para aproximar el tamaño de la red de bots en alrededor de medio millón.
GuardiCore dijo que encontró una fuerte evidencia que sugiere operadores de Smominru con sede en China continental, aunque Proofpoint dice que la mayoría de los escáneres de IP de la red de bots operan desde AS63199 -una red sede en Estados Unidos.
Proofpoint también señaló que Smominru esta actualmente casi el doble del tamaño de la Adylkuzz botnet, la primera familia de malware (incluso antes de WannaCry) que alguna vez usó el EternalBlue explotar. Adylkuzz fue también una red de bots Moneo-minería.