Ботнет Smominru ежедневно заражает более 4700 компьютеров

Как размножается ботнет Smominru

Вовлеченные преступники не слишком точны в своих целях, которые варьируются от университетов до поставщиков медицинских услуг. Однако одна деталь очень последовательна: около 85% заражений происходит в системах Windows 7 и Windows Server 2008. Остальные включают Windows Server 2012, Windows XP и Windows Server 2003.

Приблизительно одна четвертая часть пораженных машин была заражена снова после того, как из них был удален Smominru. Другими словами, некоторые жертвы действительно очищали свои системы, но игнорировали основную причину.

Это приводит к вопросу: какова основная причина? Что ж, ботнет использует много методов для распространения, но в первую очередь он заражает систему одним из двух способов:

• путем грубого взлома слабых учетных данных для различных служб Windows;

• полагаясь на печально известный эксплойт EternalBlue.

Несмотря на то, что Microsoft исправила уязвимости EternalBlue, которые сделали возможным эпидемии WannaCry и NotPetya, в 2017 году для устаревших систем, многие компании просто игнорируют обновления.

Ботнет Smominru в действии

После взлома системы Smominru создает нового пользователя с именем admin $ с правами администратора в системе и начинает загружать целую кучу вредоносных полезных данных. Самая очевидная цель - молча использовать зараженные компьютеры для майнинга криптовалюты (а именно, Monero) за счет жертвы.

Однако это не так: вредоносная программа также загружает набор модулей, используемых для шпионажа, фильтрации данных и кражи учетных данных. Вдобавок ко всему, как только Smominru закрепляется, он пытается распространиться дальше внутри сети, чтобы заразить как можно больше систем.

Интересная деталь: ботнет очень конкурентоспособен и убивает всех соперников, которых он находит на зараженном компьютере. Другими словами, он не только отключает и блокирует любые другие вредоносные действия, выполняемые на целевом устройстве, но также предотвращает дальнейшее заражение конкурентами.

Инфраструктура атаки

Ботнет использует более 20 выделенных серверов, в основном расположенных в США, хотя некоторые из них расположены в Малайзии и Болгарии. Инфраструктура атаки Smominru, будучи настолько широко распределенной, сложной и очень гибкой, вряд ли удастся легко ее устранить, поэтому кажется, что ботнет будет активен в течение некоторого времени.

Как защитить свою сеть, компьютеры и данные от Smominru:

• Регулярно обновляйте операционные системы и другое программное обеспечение.

• Используйте надежные пароли. Надежный менеджер паролей поможет вам создавать, управлять и автоматически получать, и вводить пароли. Это защитит вас от атак грубой силы;

• Использовать надежное решение для защиты безопасности – Kaspersky Small Office Security.

Вы можете купить лицензионную защиту Kaspersky Small Office Security и получить гарантированные призы:

• Подарочные сертификаты от розничных сетей Ozon, ЛитРес, Спортмастер, 585 Золотой.

• Скидку 50% на смену корпоративного антивирусного решения от других производителей на соответствующие решения «Лаборатории Касперского»;

• Бонусные баллы для получения ценных призов.