Conoce a Smominru, un malware peligroso que podría intentar robar tus credenciales

Se podría decir que el gusano Smominru no es la amenaza cibernética más conocida. De hecho, ha atraído cierta atención, principalmente de expertos en seguridad cibernética, pero en general, no se ha mencionado en las noticias con tanta frecuencia como Trickbot , por ejemplo. Sin embargo, durante los últimos tres años, ha estado atormentando a los usuarios de Windows en todo el mundo, y recientemente, los investigadores de Guardicore decidieron observar más de cerca y ver cómo se desarrolla. Sus hallazgos fueron bastante sorprendentes.

Los expertos lograron acceder a uno de los servidores centrales de Comando y Control (C&C) del malware y leer los registros. Descubrieron que solo durante el mes de agosto, Smominru logró infectar la friolera de 90,000 dispositivos Windows. Eso es un promedio de 4,700 computadoras y servidores por día.

Como la mayoría de las amenazas de este tipo, Smominru no se dirige a usuarios u organizaciones particulares. El gusano ha infectado máquinas que pertenecen a todo tipo de empresas que trabajan en una variedad de sectores diferentes. China, Taiwán, Rusia, Brasil y Estados Unidos registraron la mayor cantidad de víctimas en agosto, y Guardicore dijo que la mayoría de los dispositivos infectados eran servidores pequeños.

Con todo, aunque podría no ser la familia de malware más reconocible, Smominru parece ser mucho más activo que algunos de sus competidores más conocidos, y claramente está logrando afectar a un gran número de usuarios. ¿Cómo está haciendo eso?

Las técnicas simples y las viejas hazañas son la raíz del éxito de Smominru

Smominru tiene dos formas de infectar nuevos hosts y moverse lateralmente por la red. Ya sea bruta fuerzas de su camino en el uso de servicios de Windows como RDP y Telnet, o que utiliza algo conocido como EternalBlue.

El ataque de fuerza bruta es posiblemente la herramienta más simple en el arsenal de los hackers. Desafortunadamente, debido a que las personas tienden a usar las mismas contraseñas débiles, a menudo también es una de las más eficaces. En el caso de Smominru, algunos errores de configuración ayudan.

RDP y Telnet son protocolos de red antiguos que tienen alternativas más modernas y confiables. No mucha gente los usa hoy en día, sin embargo, a pesar de esto, algunos administradores de sistemas los dejan en funcionamiento. Combine esto con las contraseñas débiles (o predeterminadas) que las protegen, y verá cómo amenazas como Smominru pueden moverse por la red con facilidad.

La misma negligencia está en el corazón del segundo vector de infección de Smominru: EternalBlue. EternalBlue es un exploit supuestamente desarrollado por la NSA, que aprovecha una vulnerabilidad específica de Windows. Se filtró en abril de 2017, y fue tan poderoso que Microsoft hizo todo lo posible y lanzó parches para los sistemas que habían alcanzado su fin de soporte. A pesar de esto, en mayo y junio del mismo año, EternalBlue se utilizó en dos de los ataques cibernéticos más graves de la última década: los brotes de ransomware WannaCry y NotPetya.

Se podría pensar que los usuarios, y especialmente los encargados de los servidores de la compañía, ya habrían parcheado sus sistemas, pero lamentablemente, este no es el caso.

De hecho, el 85% de todas las máquinas infectadas por Smominru durante la campaña de agosto se ejecutan en Windows 7 o Windows Server 2008 R2, lo que demuestra que las personas todavía usan un software desactualizado. Y aunque hay parches disponibles incluso para estas versiones antiguas, los usuarios simplemente no quieren aplicarlos. Guardicore informó que Smominru registró una tasa de reinfección del 25% en las máquinas donde se descubrió y eliminó inicialmente.

En general, la impresionante velocidad con la que Smominru infecta a los nuevos hosts no se debe a las habilidades y sofisticación de sus operadores. Tiene más que ver con la renuencia a seguir las buenas prácticas de seguridad cibernética más básicas, como lo demuestran tanto los usuarios como los administradores del sistema.

Smominru permite la minería de cifrado y el robo de credenciales

Una vez que Smominru se encuentra en una nueva máquina, primero comienza a crear un nuevo usuario en el sistema con derechos administrativos. Con esto, el gusano tiene la carta blanca para hacer lo que quiera en el host infectado.

Los expertos de Guardicore señalaron que las muestras que observaron parecían ser especialmente hostiles hacia los productos de la competencia. Poco después de una infección exitosa, Smominru elimina procesos, elimina archivos y tareas programadas, y revierte los cambios de registro asociados con otras familias de malware. Luego bloquea algunos puertos de red para reducir las posibilidades de que otros atacantes comprometan al mismo host.

Claramente, los operadores de Smominru no quieren compartir el botín, y cuando vea cuál es dicho botín, no se sorprenderá. Durante más de un año, la pandilla Smominru ha estado utilizando recursos de hardware de hosts infectados para extraer una criptomoneda popular con el nombre de Monero, pero según el informe de Guardicore, las cargas útiles ahora incluyen una herramienta de prueba de penetración llamada Mimikatz que puede robar nombres de usuario, contraseñas y otra información personal. De hecho, mientras miraban los registros en los C&C de Smominru, los investigadores notaron bastantes credenciales de inicio de sesión robadas.

Hablando de los C&C, los expertos también señalaron que los operadores de Smominru han construido una infraestructura de back-end bastante seria. Hay al menos 20 servidores C&C configurados con el único objetivo de controlar el gusano. La mayoría de ellos se encuentran en los Estados Unidos, pero también hay algunos en lugares como Malasia y Bulgaria, lo que significa que derribar toda la operación será extremadamente difícil.

Y esto significa que los usuarios y los administradores del sistema probablemente deberían echar un vistazo a su configuración de red y su política de actualización y ver si sus sistemas son vulnerables a un ataque de Smominru.

October 9, 2019

Deja una respuesta

¡IMPORTANTE! Para poder continuar, debe resolver las siguientes matemáticas simples.
Please leave these two fields as is:
¿Qué es 6 + 6?