Smominru Botnet Menginfeksi 90.000 komputer dalam beberapa bulan terakhir

by Hairiman
2 comments

Perangkat yang terhubung dengan koneksi internet yang tidak aman telah membantu berbagai jenis kejahatan dunia maya selama bertahun-tahun, yang paling umum adalah serangan DDoS dan spam. Tetapi penjahat dunia maya kini telah beralih ke skema yang menguntungkan di mana botnet tidak hanya meluncurkan DDoS atau spam — mereka juga menambang cryptocurrency.

Smominru, bot cryptocurrency terkenal karena selalu mencuri kredensial, telah menjadi salah satu virus komputer yang menyebar cepat yang sekarang menginfeksi lebih dari 90.000 mesin setiap bulan di seluruh dunia.

Menurut para peneliti, hanya dalam beberapa bulan lalu, lebih dari 4.900 jaringan terinfeksi oleh virus ini tanpa terdeteksi, dan banyak dari jaringan ini memiliki puluhan mesin internal yang terinfeksi.

Jaringan yang terinfeksi meliputi institusi pendidikan tinggi yang berpusat di AS, perusahaan medis, dan bahkan perusahaan cybersecurity, dengan jaringan terbesar milik penyedia layanan kesehatan di Italia dengan total 65 host yang terinfeksi.

Aktif sejak 2017, botnet Smominru mengkompromikan mesin Windows terutama menggunakan EternalBlue , sebuah eksploitasi yang dibuat oleh Badan Keamanan Nasional AS tetapi kemudian bocor ke publik oleh kelompok peretasan Shadow Brokers dan kemudian paling terkenal digunakan oleh serangan ransomware WannaCry terbesar  pada 2016.

Botnet ini juga telah dirancang untuk mendapatkan akses awal pada sistem yang rentan dengan hanya memaksa kredensial yang lemah untuk berbagai layanan Windows, termasuk MS-SQL, RDP, dan Telnet.

smominru botnet

Setelah mendapatkan akses awal ke sistem yang ditargetkan, Smominru memasang modul Trojan dan penambang cryptocurrency dan menyebar di dalam jaringan untuk memanfaatkan kekuatan CPU PC korban untuk menambang Monero dan mengirimkannya ke dompet milik operator malware.

Sebulan yang lalu, juga terungkap bahwa operator di belakang botnet meningkatkan Smominru untuk menambahkan modul pemanenan data dan Remote Access Trojan (RAT) ke kode penambangan cryptocurrency botnet mereka.

Varian terbaru dari Smominru mengunduh dan menjalankan setidaknya 20 skrip berbahaya dan muatan biner, termasuk pengunduh worm , trojan horse, dan rootkit MBR.

“Para penyerang membuat banyak backdoor pada mesin dalam fase serangan yang berbeda beda. Ini termasuk pengguna yang baru dibuat, tugas yang dijadwalkan, objek WMI dan layanan yang ditetapkan untuk dijalankan pada saat boot,” kata para peneliti.
Menurut laporan baru, para peneliti Guardicore Labs mengatakan mereka berhasil mendapatkan akses ke salah satu server inti penyerang, yang menyimpan informasi korban dan kredensial curian mereka, dan melihat lebih dekat pada sifat para korban.

“Log penyerang menggambarkan setiap host yang terinfeksi; mereka termasuk alamat IP eksternal dan internal, sistem operasi yang dijalankannya, dan bahkan beban pada CPU sistem. Selanjutnya, para penyerang berusaha mengumpulkan proses yang berjalan dan mencuri kredensial menggunakan Mimikatz, “kata para peneliti.

“Guardicore Labs telah memberi tahu para korban yang dapat diidentifikasi dan memberi mereka rincian mesin mereka yang terinfeksi.”

Botnet menginfeksi mesin-mesin yang rentan – yang sebagian besar menjalankan Windows 7 dan Windows Server 2008 – dengan laju 4.700 mesin per hari dengan beberapa ribu infeksi terdeteksi di negara-negara termasuk Cina, Taiwan, Rusia, Brasil, dan

Mayoritas AS. mesin yang terinfeksi ditemukan terutama server kecil, dengan 1-4 inti CPU, meninggalkan sebagian besar dari mereka tidak dapat digunakan karena penggunaan CPU yang berlebihan dengan proses penambangan.

malware smominru botnet

Analisis oleh para peneliti juga mengungkapkan bahwa seperempat dari korban Smominru diinfeksi ulang oleh worm, menunjukkan bahwa mereka “berusaha untuk membersihkan sistem mereka tanpa memperbaiki masalah akar penyebab yang membuat mereka rentan di tempat pertama.”

Tidak seperti varian Smominru sebelumnya, varian baru juga menghilangkan infeksi dari sistem yang dikompromikan, jika ada, yang ditambahkan oleh kelompok penjahat dunia maya lainnya, bersama dengan memblokir port TCP (SMB, RPC) dalam upaya untuk mencegah penyerang lain dari pelanggaran yang terinfeksi. mesin.

Peneliti Guardicore juga telah merilis daftar lengkap IoC (indikator kompromi) dan skrip Powershell gratis di GitHub yang dapat Anda jalankan dari antarmuka baris perintah Windows untuk memeriksa apakah sistem Anda terinfeksi dengan cacing Smominru atau tidak.

Karena worm Smominru memanfaatkan eksploitasi EternalBlue dan kata sandi yang lemah, pengguna disarankan untuk terus memperbarui sistem dan perangkat lunak mereka dan tetap menggunakan kata sandi yang kuat, kompleks dan unik untuk menghindari menjadi korban dari ancaman tersebut.

Selain itu, untuk sebuah organisasi, juga penting untuk memiliki langkah-langkah keamanan tambahan, seperti “menerapkan segmentasi jaringan dan meminimalkan jumlah server.

You may also like

2 comments

APAYANG Site 22 September 2019 - 4:43 am

Selain Komputer, Blog pribadi bisa terjangkit virus seperti itu ga ya… Kalo blog saya Apayang Site sih hostingan google, jadi aman kali ya…

Reply
Hairiman 22 September 2019 - 9:26 am

blog pribadi juga bisa terkena virus ini, meskipun penyedia hosting / server nya google, tidak menutup kemungkinan juga virus ini menyebar di blog blog yang hosting / server nya dari google, tapi google juga selalu berusaha untuk selalu mengamankan server mereka

Reply

Leave a Comment

%d blogger menyukai ini: