smominru

Le botnet Smominru a infecté plus de 90 000 PC le mois dernier

Smominru, un botnet de minage de cryptomonnaie et de subtilisation d’informations, est devenu l’un des virus qui se propagent le plus rapidement avec plus de 90 000 nouvelles machines infectés chaque mois dans le monde entier.

Les appareils non-sécurisés connectés à Internet sont les meilleurs amis des cybercriminels depuis plusieurs années. La plupart de ces appareils finissent dans des botnets pour lancer des campagnes de déni de service et de spam. Mais les cybercriminels ont trouvé une autre façon d’utiliser leurs botnets pour faire du profit—ils minent de la cryptomonnaie.

Bien que les campagnes de piratage avec le botnet Smominru n’ont pas été conçu pour avoir des cibles spéciales, le dernier rapport des chercheurs de Guardicore Labs met en lumière les victimes et l’infrastructure de l’attaque.

Selon les chercheurs, le mois dernier, plus de 4900 réseaux ont été infecté par le vers et la plupart de ces réseaux avaient des douzaines de machines internes infectées.

Parmi les réseaux infectés, on note des établissements d’enseignement supérieur basés aux États-Unis, des entreprises médicales, et même des compagnies de cybersécurité, le plus grand réseau appartient à un fournisseur de soins de santé en Italie avec un total de 65 hôtes infectés.

En activité depuis 2017, le botnet Smominru compromet les machines Windows en utilisant EternalBlue, un exploit créé par la NSA mais qui a été partagé avec le public par le groupe de pirate Shadow Brokers et ensuite utilisé par le ransomware WannaCry en 2016.

Le botnet a aussi été conçu pour obtenir un accès aux systèmes vulnérables en utilisant une technique de force brute sur les identifiants de différents services Windows, y compris MS-SQL, RDP et Telnet.

smominru botnet

Une fois que l’accès aux systèmes ciblés est obtenu, Smominru installe un module Trojan et un mineur de cryptomonnaie et se propage à l’intérieur du réseau pour exploiter plus de processeurs, miner du Monero et l’envoyer vers un porte-feuille qui appartient à l’opérateur du malware.

Il semblerait aussi que les opérateurs du botnet ont fait une mise à niveau de Smominru pour ajouter un module de collection de données et un Remote Access Trojan (RAT) à leur code.

La dernière variante de Smominru télécharge et exécute au moins 20 scripts malveillant et des payloads binaires, y compris un “downloader” (téléchargeur) de vers, un cheval de Troie et un rootkit MBR.

“Les pirates créent plusieurs portes dérobées sur la machine dans différentes phases de l’attaque. Cela inclut les nouveaux utilisateurs, les tâches planifiées, les objets WMI( Windows Management Instrumentation) et les services qui s’exécutent au moment du démarrage,” ont déclaré les chercheurs.

Selon le nouveau rapport, les chercheurs de Guardicore Labs ont affirmé avoir trouvé une façon d’obtenir un accès à l’un des serveurs des pirates, lequel stocke les informations des victimes et leurs identifiants. Ils en ont profiter pour jetez un œil à la liste des victimes.

“Les logs des pirates décrivent chaque hôte infecté; ils incluent les adresses IP internes et externes, le système d’exploitation et même la charge sur le ou les processeurs du système. De plus, les pirates tentent de collecter les processus en cours et de subtiliser les identifiants en utilisant Mimikatz,” ont déclaré les chercheurs.

“Guardicore Labs a contacté les victimes identifiables.”

La majorité des machines vulnérables tournent sur Windows 7 et Windows Server 2008. On parle de 4700 machines par jour dans des pays comme la Chine, Taiwan, Russie, Brésil et les Etats-Unis.

La majorité des machines infectées découvertes étaient principalement des petits serveurs, avec des processeurs qui ont 1 à 4 cœurs, les rendant pour la plupart inutilisable à cause de la sur-utilisation de leurs processeurs liée au procédé de minage.

smominru botnet malware

L’analyse des chercheurs a aussi révélé que 1/4 des victimes de Smominru ont été réinfecté par le vers, suggérant qu’ils ont “essayé de nettoyer leurs systèmes sans s’attaque au problème qui les a rendu vulnérable en premier lieu.”

Contrairement aux précédentes variantes de Smominru, la nouvelle variante supprime les infections venant d’autres groupes de cybercriminelles. Le malware bloque aussi les ports TCP (SMB, RPC) pour tenter d’empêcher d’autres pirates d’infecter les machines.

Les chercheurs de Guardicore ont aussi partagé une liste complète des IoCs (indicateurs de compromission) et un script Powershell gratuit sur GitHub que vous pouvez exécuter depuis l’interface de ligne de commande Windows pour vérifier si votre système est infecté avec le vers Smominru ou pas.

Comment se protéger de Smominru?

Comme le ver Smominru utilise l’exploit EternalBlue et les mots de passe faibles, il est recommandé aux utilisateurs de garder leurs systèmes et logiciels à jour et d’avoir des mots de passe forts, compliqués et uniques pour éviter d’être une victime de ce genre d’attaques.

En plus de cela,pour une organisation, il est aussi essentiel d’avoir des mesures de sécurité additionnelles, tel que “la mise en place de segmentation de réseau et minimiser le nombre de serveurs connecté directement à internet.

Si cet article vous a plu, jetez un œil à notre précédent article.