Los delincuentes no tienen un objetivo definido, de hecho, abarcan desde universidades hasta personal sanitario. No obstante, cabe destacar que aproximadamente un 85 % de las infecciones tienen lugar en los sistemas de Windows Server 2008 y Windows 7. El porcentaje restante pertenece a Windows Server 2012, Windows XP y Windows Server 2003.
Tras eliminar Smominru, aproximadamente un cuarto de los equipos afectados volvió a infectarse. Es decir, algunas víctimas limpiaron sus sistemas, pero ignoraron por completo la causa principal.
Esto nos hace preguntarnos cuál es el origen. El botnet utiliza varios métodos de propagación, pero en primer lugar siempre infecta el sistema consiguiendo credenciales débiles de diferentes servicios de Windows por fuerza bruta o, lo que es más común, con la ayuda del famoso exploit EternalBlue.
En el 2017 Microsoft parcheó la vulnerabilidad que explota EternalBlue y que hizo posible el estallido de WannaCry y NotPetya incluso para los sistemas descatalogados, pero muchas empresas ignoran estas actualizaciones.
Después de comprometer el sistema, Smominru crea un nuevo usuario, admin$, con privilegios de administrador y comienza a descargar archivos maliciosos. El objetivo más obvio es utilizar a escondidas los ordenadores infectados para la minería de criptomonedas (en concreto, Monero) a costa de la víctima.
No obstante, eso no es todo: el malware también descarga una serie de módulos utilizados para el espionaje, la exfiltración de datos y el robo de credenciales. Para colmo, una vez que Smominru consigue hacerse hueco, intenta propagarse por la red para infectar todos los sistemas que pueda.
Un detalle interesante: el botnet es muy competitivo y se deshace de cualquier rival que se encuentre en el ordenador infectado. Es decir, no solo inutiliza y bloquea cualquier otra actividad maliciosa que se ejecute en el dispositivo de la víctima, sino que también evita la infección de cualquier otro contrincante.
El botnet depende de más de 20 servidores dedicados, la mayoría se encuentran en Estados Unidos, aunque algunos están alojados en Malasia y Bulgaria. Como la infraestructura del ataque se distribuye a gran escala y es compleja y altamente flexible, es muy complicado deshacerse de ella con facilidad, por lo que parece que el botnet estará activo durante bastante tiempo.
Cómo proteger tu red, tus ordenadores y tus datos de Smominru:
- Actualiza los sistemas operativos y softwares con regularidad.
- Utiliza contraseñas fuertes. Un gestor de contraseñas de confianza ayuda a crear, gestionar y recuperar e introducir contraseñas de forma automática. Esto te protegerá contra los ataques de fuerza bruta.
- Utiliza una solución de seguridad de confianza.
- Fuente: Kaspersky