{"id":15517,"date":"2019-10-04T14:05:35","date_gmt":"2019-10-04T20:05:35","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15517"},"modified":"2020-04-02T05:37:44","modified_gmt":"2020-04-02T11:37:44","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/smominru-botnet-eternalblue\/15517\/","title":{"rendered":"El botnet Smominru infecta 4,700 equipos al d\u00eda"},"content":{"rendered":"

Smominru, activo desde el 2017, se ha convertido en uno de los malware<\/em> para computadora de m\u00e1s r\u00e1pida expansi\u00f3n, seg\u00fan los datos de este informe<\/a>. En el 2019, consigui\u00f3 infectar un total de 90,000 equipos de todo el mundo tan solo en el mes de agosto, con una tasa de infecci\u00f3n de hasta 4,700 computadores al d\u00eda. China, Taiw\u00e1n, Rusia, Brasil y Estados Unidos han sido los m\u00e1s afectados, pero eso no quiere decir que otros pa\u00edses est\u00e9n fuera de su alcance. Por ejemplo, la red m\u00e1s amplia que ha atacado Smominru se encuentra en Italia, con 65 servidores infectados.<\/p>\n

<\/strong><\/p>\n

C\u00f3mo se propaga el botnet<\/em> Smominru<\/strong><\/h2>\n

Los criminales no tienen un objetivo definido, de hecho, abarcan desde universidades hasta servicios de salud. No obstante, cabe destacar que aproximadamente un 85 % de las infecciones tienen lugar en los sistemas de Windows Server 2008 y Windows 7. El porcentaje restante pertenece a Windows Server 2012, Windows XP y Windows Server 2003.<\/p>\n

Tras eliminar Smominru, aproximadamente un cuarto de los equipos afectados volvi\u00f3 a infectarse. Es decir, algunas v\u00edctimas limpiaron sus sistemas, pero ignoraron por completo la causa principal.<\/p>\n

Esto nos hace preguntarnos cu\u00e1l es el origen. El botnet<\/em> utiliza varios m\u00e9todos de propagaci\u00f3n, pero principalmente infecta el sistema de dos formas: en el primero, obtiene las credenciales d\u00e9biles de diferentes servicios de Windows con un ataque por fuerza bruta; en el segundo, que es m\u00e1s com\u00fan, con la ayuda del famoso exploit<\/em><\/a> EternalBlue.<\/p>\n

El problema es que, aunque Microsoft parch\u00f3 la vulnerabilidad que explota EternalBlue en el 2017, incluso para los sistemas descatalogados, y que hizo posible el estallido de WannaCry<\/a> y NotPetya<\/a>, muchas empresas ignoran las actualizaciones.<\/p>\n

El botnet<\/em> Smominru en acci\u00f3n<\/strong><\/h3>\n

Despu\u00e9s de comprometer el sistema, Smominru crea un nuevo usuario, llamado admin$, con privilegios de administrador en el sistema y comienza a descargar archivos maliciosos. El objetivo m\u00e1s obvio es utilizar a escondidas las computadoras infectadas para la miner\u00eda de criptomonedas (en concreto, Monero) a costa de la v\u00edctima.<\/p>\n

Pero eso no es todo: el malware<\/em> tambi\u00e9n descarga una serie de m\u00f3dulos utilizados para el espionaje, la exfiltraci\u00f3n de datos y el robo de credenciales. Para colmo, una vez que Smominru se ha afianzado, intenta propagarse por la red para infectar todos los sistemas que pueda.<\/p>\n

Un detalle importante: el botnet<\/em> es muy competitivo y se deshace de cualquier rival que se encuentre en la computadora infectada. Es decir, no solo inutiliza y bloquea cualquier otra actividad maliciosa que se ejecute en el dispositivo de la v\u00edctima, sino que tambi\u00e9n evita la infecci\u00f3n por parte de cualquier otro contrincante.<\/p>\n

La infraestructura del ataque<\/strong><\/h3>\n

El botnet<\/em> depende de m\u00e1s de 20 servidores dedicados, la mayor\u00eda se encuentran en Estados Unidos, aunque algunos est\u00e1n alojados en Malasia y Bulgaria. Dado que la infraestructura del ataque se distribuye a gran escala, es compleja y altamente flexible, resulta muy complicado deshacerse de ella con facilidad, por lo que parece que el botnet<\/em> estar\u00e1 activo durante bastante tiempo.<\/p>\n

C\u00f3mo proteger tu red, tus computadoras y tus datos de Smominru:<\/p>\n