Smominru is al sinds 2017 actief en is nu een van de soorten computermalware die zich het snelst verspreidt, zo blijkt uit een openbaar beschikbaar rapport. In 2019 infecteerde het alleen in Augustus al 90.000 apparaten over de hele wereld, met een infectie-snelheid van tot wel 4.700 computers per dag. China, Taiwan, Rusland, Brazilië en de Verenigde Staten zagen de meeste aanvallen, maar dat wil niet zeggen dat andere landen geen risico lopen. Het grootste netwerk dat door Smominru werd aangevallen bevond zich bijvoorbeeld in Italië, waarbij 65 hosts werden geïnfecteerd.
Hoe het Smominru-botnet zich verspreidt
De betrokken criminelen zijn niet bepaald kieskeurig wat betreft hun doelwitten, die uiteenlopen van universiteiten tot zorgaanbieders. Maar één detail is echter wel erg consistent: zo’n 85% van de infecties gebeuren op de besturingssystemen Windows 7 en Windows Server 2008. Andere veel getroffen systemen zijn Windows Server 2012, Windows XP en Windows Server 2003.
Ongeveer een kwart van de aangevallen machines werd opnieuw geïnfecteerd nadat Smominru was verwijderd. In andere woorden: sommige slachtoffers schoonden hun systemen op, maar negeerden de hoofdoorzaak.
Dat brengt ons tot de volgende vraag: wat is de hoofdoorzaak? Het botnet gebruikt verschillende methodes om zich te verspreiden, maar het infecteert systemen voornamelijk op één of twee manieren: ofwel via de brute force-methode bij zwakke inloggegevens voor verschillende Windows-diensten, of, gebruikelijker nog, door te vertrouwen op de beruchte EternalBlue-exploit.
Hoewel Microsoft een patch uitbracht voor de zwakke plek, EternalBlue-exploits, die de uitbraken WannaCry en NotPetya mogelijk maakten (in 2017 zelfs voor stopgezette systemen) negeren veel bedrijven simpelweg de updates.
Het Smominru-botnet in actie
Na het systeem te infecteren, creëert Smominru een nieuwe gebruiker, admin$ genaamd, met admin-rechten op het systeem en begint het tal van schadelijke payloads te downloaden. Het meest voor de hand liggende doel is om geïnfecteerde computers stiekem te gebruiken voor het mijnen van cryptogeld (vooral Monero) ten koste van het slachtoffer.
Maar dat is nog niet alles: de malware downloadt tevens een reeks modules die gebruikt worden voor spionage, gegevensonderschepping en diefstal van inloggegevens. Daar komt bij dat Smominru zodra het voeten aan de grond krijgt, zich verder binnen het netwerk probeert te verspreiden en zo veel mogelijk systemen probeert te infecteren.
Een interessant detail: het botnet is zeer competitief en ruimt eventuele rivalen die het op de geïnfecteerde computer vindt uit de weg. In andere woorden: andere schadelijke malware die op het apparaat staat wordt niet alleen uitgeschakeld en geblokkeerd, maar het voorkomt ook verdere infectie van eventuele concurrenten.
Infrastructuur van de aanval
Het botnet vertrouwt op meer dan 20 dedicated servers, veelal in de V.S., hoewel er ook een aantal in Maleisië en Bulgarije gehost worden. Doordat de aanvalsstructuur van Smominru zo wijdverspreid, complex en zeer flexibel is, is het onwaarschijnlijk dat er een eenvoudige oplossing is, dus het lijkt erop dat het botnet nog wel even actief zal blijven.
Hoe beschermt u uw netwerk, computers en gegevens tegen Smominru?
- Update regelmatig besturingssystemen en andere software.
- Gebruik sterke wachtwoorden. Een betrouwbare wachtwoord-manager helpt bij het creëren, beheren en automatisch verkrijgen en invoeren van wachtwoorden. Dit biedt bescherming tegen brute force-aanvallen.
- Gebruik een betrouwbaar beveiligingssysteem.