Conoce a Smominru, un malware peligroso que podría intentar robar tus credenciales

Se podría decir que el gusano Smominru no es la amenaza cibernética más conocida. De hecho, ha atraído cierta atención, principalmente de expertos en seguridad cibernética, pero en general, no se ha mencionado en las noticias con tanta frecuencia como Trickbot , por ejemplo. Sin embargo, durante los últimos tres años, ha estado atormentando a los usuarios de Windows en todo el mundo, y recientemente, los investigadores de Guardicore decidieron observar más de cerca y ver cómo se desarrolla. Sus hallazgos fueron bastante sorprendentes.

Los expertos lograron acceder a uno de los servidores centrales de Comando y Control (C&C) del malware y leer los registros. Descubrieron que solo durante el mes de agosto, Smominru logró infectar la friolera de 90,000 dispositivos Windows. Eso es un promedio de 4,700 computadoras y servidores por día.

Como la mayoría de las amenazas de este tipo, Smominru no se dirige a usuarios u organizaciones particulares. El gusano ha infectado máquinas que pertenecen a todo tipo de empresas que trabajan en una variedad de sectores diferentes. China, Taiwán, Rusia, Brasil y Estados Unidos registraron la mayor cantidad de víctimas en agosto, y Guardicore dijo que la mayoría de los dispositivos infectados eran servidores pequeños.

Con todo, aunque podría no ser la familia de malware más reconocible, Smominru parece ser mucho más activo que algunos de sus competidores más conocidos, y claramente está logrando afectar a un gran número de usuarios. ¿Cómo está haciendo eso?

Las técnicas simples y las viejas hazañas son la raíz del éxito de Smominru

Smominru tiene dos formas de infectar nuevos hosts y moverse lateralmente por la red. Ya sea bruta fuerzas de su camino en el uso de servicios de Windows como RDP y Telnet, o que utiliza algo conocido como EternalBlue.

El ataque de fuerza bruta es posiblemente la herramienta más simple en el arsenal de los hackers. Desafortunadamente, debido a que las personas tienden a usar las mismas contraseñas débiles, a menudo también es una de las más eficaces. En el caso de Smominru, algunos errores de configuración ayudan.

RDP y Telnet son protocolos de red antiguos que tienen alternativas más modernas y confiables. No mucha gente los usa hoy en día, sin embargo, a pesar de esto, algunos administradores de sistemas los dejan en funcionamiento. Combine esto con las contraseñas débiles (o predeterminadas) que las protegen, y verá cómo amenazas como Smominru pueden moverse por la red con facilidad.

La misma negligencia está en el corazón del segundo vector de infección de Smominru: EternalBlue. EternalBlue es un exploit supuestamente desarrollado por la NSA, que aprovecha una vulnerabilidad específica de Windows. Se filtró en abril de 2017, y fue tan poderoso que Microsoft hizo todo lo posible y lanzó parches para los sistemas que habían alcanzado su fin de soporte. A pesar de esto, en mayo y junio del mismo año, EternalBlue se utilizó en dos de los ataques cibernéticos más graves de la última década: los brotes de ransomware WannaCry y NotPetya.

Se podría pensar que los usuarios, y especialmente los encargados de los servidores de la compañía, ya habrían parcheado sus sistemas, pero lamentablemente, este no es el caso.

De hecho, el 85% de todas las máquinas infectadas por Smominru durante la campaña de agosto se ejecutan en Windows 7 o Windows Server 2008 R2, lo que demuestra que las personas todavía usan un software desactualizado. Y aunque hay parches disponibles incluso para estas versiones antiguas, los usuarios simplemente no quieren aplicarlos. Guardicore informó que Smominru registró una tasa de reinfección del 25% en las máquinas donde se descubrió y eliminó inicialmente.

En general, la impresionante velocidad con la que Smominru infecta a los nuevos hosts no se debe a las habilidades y sofisticación de sus operadores. Tiene más que ver con la renuencia a seguir las buenas prácticas de seguridad cibernética más básicas, como lo demuestran tanto los usuarios como los administradores del sistema.

Smominru permite la minería de cifrado y el robo de credenciales

Una vez que Smominru se encuentra en una nueva máquina, primero comienza a crear un nuevo usuario en el sistema con derechos administrativos. Con esto, el gusano tiene la carta blanca para hacer lo que quiera en el host infectado.

Los expertos de Guardicore señalaron que las muestras que observaron parecían ser especialmente hostiles hacia los productos de la competencia. Poco después de una infección exitosa, Smominru elimina procesos, elimina archivos y tareas programadas, y revierte los cambios de registro asociados con otras familias de malware. Luego bloquea algunos puertos de red para reducir las posibilidades de que otros atacantes comprometan al mismo host.

Claramente, los operadores de Smominru no quieren compartir el botín, y cuando vea cuál es dicho botín, no se sorprenderá. Durante más de un año, la pandilla Smominru ha estado utilizando recursos de hardware de hosts infectados para extraer una criptomoneda popular con el nombre de Monero, pero según el informe de Guardicore, las cargas útiles ahora incluyen una herramienta de prueba de penetración llamada Mimikatz que puede robar nombres de usuario, contraseñas y otra información personal. De hecho, mientras miraban los registros en los C&C de Smominru, los investigadores notaron bastantes credenciales de inicio de sesión robadas.

Hablando de los C&C, los expertos también señalaron que los operadores de Smominru han construido una infraestructura de back-end bastante seria. Hay al menos 20 servidores C&C configurados con el único objetivo de controlar el gusano. La mayoría de ellos se encuentran en los Estados Unidos, pero también hay algunos en lugares como Malasia y Bulgaria, lo que significa que derribar toda la operación será extremadamente difícil.

Y esto significa que los usuarios y los administradores del sistema probablemente deberían echar un vistazo a su configuración de red y su política de actualización y ver si sus sistemas son vulnerables a un ataque de Smominru.

En Duran
October 9, 2019
Malware
Spanish
October 9, 2019
Malware

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.