Treffen Sie Smominru, eine gefährliche Malware, die versuchen könnte, Ihre Anmeldeinformationen zu stehlen

Man könnte sagen, dass der Smominru-Wurm nicht die bekannteste Cyber-Bedrohung ist. Es hat zwar einige Aufmerksamkeit erregt, hauptsächlich von Cybersicherheitsexperten, aber insgesamt wurde es in den Nachrichten nicht so häufig erwähnt wie beispielsweise Trickbot. Trotzdem quält es seit drei Jahren Windows-Benutzer auf der ganzen Welt, und kürzlich beschlossen Forscher von Guardicore , genauer hinzuschauen und zu sehen, wie es weitergeht. Ihre Ergebnisse waren ziemlich überraschend.

Den Experten gelang es, auf einen der zentralen Command & Control-Server (C&C) der Malware zuzugreifen und die Protokolle zu lesen. Sie fanden heraus, dass Smominru allein im August satte 90.000 Windows-Geräte infizieren konnte. Das sind durchschnittlich 4.700 Computer und Server pro Tag.

Wie die meisten Bedrohungen dieser Art zielt Smominru nicht auf bestimmte Benutzer oder Organisationen ab. Der Wurm hat Maschinen infiziert, die allen Arten von Unternehmen gehören, die in verschiedenen Branchen tätig sind. China, Taiwan, Russland, Brasilien und die USA verzeichneten im August die meisten Opfer, und Guardicore gab an, dass die Mehrheit der infizierten Geräte kleine Server seien.

Alles in allem scheint Smominru, obwohl es möglicherweise nicht die bekannteste Malware-Familie ist, viel aktiver zu sein als einige seiner bekannteren Konkurrenten, und es gelingt eindeutig, eine große Anzahl von Benutzern zu beeinflussen. Wie macht es das?

Einfache Techniken und alte Heldentaten sind die Basis für den Erfolg von Smominru

Smominru hat zwei Möglichkeiten, neue Hosts zu infizieren und sich seitlich im Netzwerk zu bewegen. Entweder erzwingt es die Nutzung von Windows-Diensten wie RDP und Telnet, oder es verwendet etwas, das als EternalBlue bekannt ist.

Der Brute-Force-Angriff ist wohl das einfachste Werkzeug im Arsenal der Hacker. Leider ist es oft auch eines der effektivsten, da die Leute dazu neigen, dieselben schwachen Passwörter zu verwenden. Bei Smominru helfen ein paar Konfigurationsfehler.

RDP und Telnet sind alte Netzwerkprotokolle mit moderneren und zuverlässigeren Alternativen. Heutzutage werden sie nicht mehr von einer ganzen Reihe von Leuten verwendet, und trotzdem lassen einige Systemadministratoren sie laufen. Kombinieren Sie dies mit den schwachen (oder Standard-) Passwörtern, die sie schützen, und Sie werden sehen, wie sich Bedrohungen wie Smominru mühelos im Netzwerk bewegen können.

Die gleiche Nachlässigkeit ist das Herzstück von Smominru's zweitem Infektionsvektor: EternalBlue. EternalBlue ist ein Exploit, der angeblich von der NSA entwickelt wurde und eine bestimmte Windows-Sicherheitslücke ausnutzt. Es wurde im April 2017 durchgesickert und war so leistungsfähig, dass Microsoft sich Mühe gab und Patches für Systeme veröffentlichte, deren Support abgelaufen war. Trotzdem wurde EternalBlue im Mai und Juni desselben Jahres bei zwei der schwersten Cyberangriffe des letzten Jahrzehnts eingesetzt - dem Ausbruch der Ransomware WannaCry und NotPetya.

Man könnte meinen, dass Benutzer und insbesondere diejenigen, die für Unternehmensserver zuständig sind, ihre Systeme inzwischen gepatcht haben, aber leider ist dies nicht der Fall.

Tatsächlich laufen 85% aller Computer, die während der August-Kampagne mit Smominru infiziert wurden, unter Windows 7 oder Windows Server 2008 R2, was zeigt, dass immer noch wild veraltete Software verwendet wird. Und obwohl es Patches auch für diese alten Versionen gibt, möchten Benutzer sie einfach nicht anwenden. Guardicore berichtete, dass Smominru auf Maschinen, auf denen es ursprünglich entdeckt und entfernt wurde, eine Wiederinfektionsrate von 25% verzeichnete.

Alles in allem ist die beeindruckende Geschwindigkeit, mit der Smominru neue Hosts infiziert, nicht auf die Fähigkeiten und die Raffinesse seiner Bediener zurückzuführen. Dies hat mehr mit der Zurückhaltung zu tun, die grundlegendsten bewährten Verfahren für die Cybersicherheit zu befolgen, wie sowohl Benutzer als auch Systemadministratoren demonstrieren.

Smominru ermöglicht das Crypto-Mining und den Diebstahl von Anmeldeinformationen

Sobald sich Smominru auf einem neuen Computer befindet, wird zunächst ein neuer Benutzer mit Administratorrechten auf dem System erstellt. Damit hat der Wurm die freie Hand, um auf dem infizierten Wirt so ziemlich alles zu tun, was er will.

Die Experten von Guardicore stellten fest, dass die von ihnen beobachteten Proben den Produkten der Wettbewerber besonders feindlich gegenüberstanden. Kurz nach einer erfolgreichen Infektion bricht Smominru Prozesse ab, löscht Dateien und geplante Aufgaben und macht die mit anderen Malware-Familien verbundenen Registrierungsänderungen rückgängig. Anschließend werden einige Netzwerkports blockiert, um die Wahrscheinlichkeit zu verringern, dass andere Angreifer denselben Host angreifen.

Es ist klar, dass die Smominru-Betreiber die Beute nicht teilen möchten, und wenn Sie sehen, was die besagte Beute ist, werden Sie kaum überrascht sein. Seit mehr als einem Jahr nutzt die Smominru-Bande die Hardwareressourcen infizierter Hosts, um eine beliebte Kryptowährung namens Monero abzubauen. Laut Guardicores Bericht enthalten die Nutzdaten nun ein Penetrationstest-Tool namens Mimikatz, das Benutzernamen stehlen kann. Passwörter und andere persönliche Informationen. Während sie die Protokolle in Smominru's C & C betrachteten, stellten die Forscher tatsächlich einige gestohlene Anmeldeinformationen fest.

In Bezug auf das C & C wiesen die Experten auch darauf hin, dass die Betreiber von Smominru eine ziemlich seriöse Backend-Infrastruktur aufgebaut haben. Es sind mindestens 20 C & C-Server mit dem einzigen Ziel eingerichtet, den Wurm zu kontrollieren. Die meisten von ihnen befinden sich in den USA, aber es gibt auch Orte wie Malaysia und Bulgarien, was bedeutet, dass es extrem schwierig sein wird, die gesamte Operation zum Erliegen zu bringen.

Dies bedeutet, dass Benutzer und Systemadministratoren möglicherweise ihre Netzwerkkonfiguration und ihre Aktualisierungsrichtlinie überprüfen sollten, um festzustellen, ob ihre Systeme für einen Smominru-Angriff anfällig sind.

Bis Duran
October 9, 2019
Malware
Deutsch
October 9, 2019
Malware

Beliebte Beiträge

Microsoft warnt staatlich unterstützte Bedrohungsakteure vor...

vor 4 days

Trojan Al11 Malware-Erkennung

vor 11 months

Pinaview ist eine voll ausgestattete Adware-App

vor 10 months

Pop-ups „Ihre iCloud wird gehackt“ und „Ihr iPhone wurde...

vor 7 months

Was ist Lucky Ransomware?

vor 7 months

E-Mail-Betrug „American Express – Aktualisieren Sie Ihre...

vor 6 months
Deutsch
Lade...

Cyclonis Backup Details & Terms

Mit dem Free Basic Cyclonis Backup-Plan erhalten Sie 2 GB Cloud-Speicherplatz mit voller Funktionalität! Keine Kreditkarte benötigt. Benötigen Sie mehr Stauraum? Kaufen Sie noch heute einen größeren Cyclonis Backup-Plan! Um mehr über unsere Richtlinien und Preise zu erfahren, sehen SieNutzungsbedingungen, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.