skip to Main Content

Cybercrime, continua la diffusione globale della botnet Smominru

Cybercrime, Continua La Diffusione Globale Della Botnet Smominru

Guardicore: il cybercrime continua a diffondere la botnet Smominru. Solo ad agosto sono stati infettati oltre 90.000 computer. Colpito anche un fornitore di healthcare in Italia. Il malware prende di mira i sistemi Windows; sfrutta un exploit di EternalBlue e attacchi brute force

Il cybercrime torna a colpire in tutto il mondo con Smominru. Secondo gli esperti di cyber security di Guardicore, solo ad agosto la botnet ha infettato oltre 90.000 macchine a livello globale. Anche in Italia, dove è stato colpito un fornitore di healthcare. Il malware, attivo dal 2017 con alcune varianti (Hexmen e Mykings) prende di mira i sistemi Microsoft Windows per fare cryptomining. In particolare Windows 7 e Server 2008, utilizzando un exploit di EternalBlue. Inoltre, può utilizzare attacchi cibernetici tipo brute force su diversi servizi e protocolli, come MS-SQL, RDP e Telnet. Peraltro, i ricercatori hanno scoperto anche che molti computer sono stati re-infettati, anche dopo aver rimosso Smominru e hanno sviluppato e rilasciato uno script Powershell per rilevare le macchine infette dal worm. Ciò in modo da aiutare la community di infosec e gli stessi utenti a rilevare al più presto la minaccia.

Gli esperti di cyber security: come funziona la catena d’infezione del malware

Secondo gli esperti di cyber security, durante l’infezione di Smominru viene scaricato uno script PowerShell (blueps.txt) sulla macchina-bersaglio. Ciò eseguendo tre operazioni. La botnet innanzitutto scarica ed esegue tre file binari: un downloader worm (u.exe / ups.exe ), un Trojan (upsupx.exe) e un rootkit MBR (max.exe / ok.exe). Il file u.exe pone le basi per il worm scaricando DLL necessarie per eseguire scansioni di rete. Quindi, si connette a un server di attacco, controlla l’ultima versione del worm e lo scarica. Il file “upsupx.exe” serve a rilasciare una variante del Trojan open source chiamato “PcShare“. Questo racchiude molte funzionalità, tra cui download ed esecuzione, comando e controllo, acquisizione di schermate e furto di informazioni. Inoltre, crea un nuovo utente amministratore chiamato admin$ sul sistema e scarica script aggiuntivi, affinché il cybercrime possa eseguire azioni dannose.

Il CERT-PA: La diffusione di Smominru è facilitata sia dall’utilizzo di password deboli sia dall’esistenza di macchine vulnerabili ad EternalBlue. E’ fondamentale allineare i sistemi operativi con gli aggiornamenti software

Come fanno sapere gli specialisti di cyber security del CERT-PA, la diffusione di Smominru è facilitata sia dall’utilizzo di password deboli sia dall’esistenza di macchine vulnerabili ad EternalBlue. I computer ancora affetti dalla vulnerabilità consentono alla campagna di continuare a propagarsi sul web e al malware di installarsi all’interno dei sistemi. Pertanto, è fondamentale allineare i sistemi operativi con gli aggiornamenti software attualmente disponibili. Tuttavia, l’applicazione di patch potrebbe non essere semplice in certe condizioni; perciò è importante valutare ulteriori misure di sicurezza nel data center come nell’organizzazione. In questo senso elementi da adottare o valutare per mantenere una solida livello di sicurezza contro minacce come Smominru sono la segmentazione della rete; l’uso di sistemi di rilevamento, in tempo reale, delle minacce provenienti dal traffico Internet, e la limitazione dei server e servizi esposti alla rete Internet.

Back To Top