El botnet Smominru infecta 4,700 equipos al día

4 Oct 2019

Smominru, activo desde el 2017, se ha convertido en uno de los malware para computadora de más rápida expansión, según los datos de este informe. En el 2019, consiguió infectar un total de 90,000 equipos de todo el mundo tan solo en el mes de agosto, con una tasa de infección de hasta 4,700 computadores al día. China, Taiwán, Rusia, Brasil y Estados Unidos han sido los más afectados, pero eso no quiere decir que otros países estén fuera de su alcance. Por ejemplo, la red más amplia que ha atacado Smominru se encuentra en Italia, con 65 servidores infectados.

El objetivo del botnet Smominru son los equipos no actualizados con Windows que utilizan el exploit EternalBlue.

Cómo se propaga el botnet Smominru

Los criminales no tienen un objetivo definido, de hecho, abarcan desde universidades hasta servicios de salud. No obstante, cabe destacar que aproximadamente un 85 % de las infecciones tienen lugar en los sistemas de Windows Server 2008 y Windows 7. El porcentaje restante pertenece a Windows Server 2012, Windows XP y Windows Server 2003.

Tras eliminar Smominru, aproximadamente un cuarto de los equipos afectados volvió a infectarse. Es decir, algunas víctimas limpiaron sus sistemas, pero ignoraron por completo la causa principal.

Esto nos hace preguntarnos cuál es el origen. El botnet utiliza varios métodos de propagación, pero principalmente infecta el sistema de dos formas: en el primero, obtiene las credenciales débiles de diferentes servicios de Windows con un ataque por fuerza bruta; en el segundo, que es más común, con la ayuda del famoso exploit EternalBlue.

El problema es que, aunque Microsoft parchó la vulnerabilidad que explota EternalBlue en el 2017, incluso para los sistemas descatalogados, y que hizo posible el estallido de WannaCry y NotPetya, muchas empresas ignoran las actualizaciones.

El botnet Smominru en acción

Después de comprometer el sistema, Smominru crea un nuevo usuario, llamado admin$, con privilegios de administrador en el sistema y comienza a descargar archivos maliciosos. El objetivo más obvio es utilizar a escondidas las computadoras infectadas para la minería de criptomonedas (en concreto, Monero) a costa de la víctima.

Pero eso no es todo: el malware también descarga una serie de módulos utilizados para el espionaje, la exfiltración de datos y el robo de credenciales. Para colmo, una vez que Smominru se ha afianzado, intenta propagarse por la red para infectar todos los sistemas que pueda.

Un detalle importante: el botnet es muy competitivo y se deshace de cualquier rival que se encuentre en la computadora infectada. Es decir, no solo inutiliza y bloquea cualquier otra actividad maliciosa que se ejecute en el dispositivo de la víctima, sino que también evita la infección por parte de cualquier otro contrincante.

La infraestructura del ataque

El botnet depende de más de 20 servidores dedicados, la mayoría se encuentran en Estados Unidos, aunque algunos están alojados en Malasia y Bulgaria. Dado que la infraestructura del ataque se distribuye a gran escala, es compleja y altamente flexible, resulta muy complicado deshacerse de ella con facilidad, por lo que parece que el botnet estará activo durante bastante tiempo.

Cómo proteger tu red, tus computadoras y tus datos de Smominru: