Faites connaissance avec Smominru, un malware malveillant qui pourrait tenter de voler vos informations d'identification

Vous pourriez dire que le ver Smominru n'est pas la cybermenace la plus largement connue. Il a en effet attiré une certaine attention, principalement par des experts en cybersécurité, mais dans l'ensemble, cela n'a pas été mentionné dans les nouvelles aussi souvent que Trickbot, par exemple. Néanmoins, au cours des trois dernières années, les utilisateurs de Windows ont été tourmentés à travers le monde. Récemment, des chercheurs de Guardicore ont décidé de regarder de plus près et de voir comment cela se passerait. Leurs découvertes étaient plutôt surprenantes.

Les experts ont réussi à accéder à l’un des serveurs centraux du logiciel malveillant (C&C) et à lire les journaux. Ils ont découvert que rien qu’au mois d’août, Smominru avait réussi à infecter 90 000 appareils Windows. Cela représente une moyenne de 4 700 ordinateurs et serveurs par jour.

Comme la plupart des menaces de ce type, Smominru ne cible pas des utilisateurs ou des organisations particuliers. Le ver a infecté des machines appartenant à toutes sortes de sociétés travaillant dans différents secteurs. La Chine, Taiwan, la Russie, le Brésil et les États-Unis ont enregistré le plus grand nombre de victimes en août, et Guardicore a déclaré que la majorité des appareils infectés étaient de petits serveurs.

Dans l’ensemble, bien qu’il ne s’agisse peut-être pas de la famille de logiciels malveillants la plus reconnaissable, Smominru semble être beaucoup plus actif que certains de ses concurrents plus connus et parvient clairement à toucher un grand nombre d’utilisateurs. Comment fait-il ça?

Les techniques simples et les vieux exploits sont à la base du succès de Smominru

Smominru dispose de deux méthodes pour infecter de nouveaux hôtes et se déplacer latéralement sur le réseau. Soit il se force à utiliser des services Windows tels que RDP et Telnet, soit il utilise quelque chose appelé EternalBlue.

L’attaque par force brute est sans doute l’outil le plus simple de l’arsenal des pirates. Malheureusement, les gens ayant tendance à utiliser les mêmes mots de passe faibles, c'est souvent l'un des plus efficaces. Dans le cas de Smominru, quelques erreurs de configuration sont utiles.

RDP et Telnet sont d'anciens protocoles de réseau offrant des alternatives plus modernes et plus fiables. De nos jours, peu de gens les utilisent et pourtant, malgré cela, de nombreux administrateurs système les laissent fonctionner. Ajoutez à cela les mots de passe faibles (ou par défaut) qui les protègent et vous verrez comment des menaces telles que Smominru peuvent se déplacer facilement sur le réseau.

La même négligence est au cœur du deuxième vecteur d'infection de Smominru: EternalBlue. EternalBlue est un exploit prétendument développé par la NSA, qui tire parti d'une vulnérabilité spécifique de Windows. Elle a été divulguée en avril 2017 et était tellement puissante que Microsoft s’est écarté de son chemin et a publié des correctifs pour les systèmes dont la prise en charge était terminée.. Malgré cela, en mai et juin de la même année, EternalBlue a été utilisé dans deux des cyberattaques les plus graves de la dernière décennie - les épidémies de rançongiciel WannaCry et NotPetya.

On pourrait penser que les utilisateurs, et en particulier les responsables des serveurs de l'entreprise, auraient déjà mis à jour leurs systèmes, mais malheureusement, ce n'est pas le cas.

En fait, 85% de toutes les machines infectées par Smominru au cours de la campagne du mois d’août sont exécutées sous Windows 7 ou Windows Server 2008 R2, ce qui montre que les utilisateurs utilisent toujours des logiciels extrêmement obsolètes. Et bien qu'il existe des correctifs disponibles même pour ces versions anciennes, les utilisateurs ne veulent tout simplement pas les appliquer. Guardicore a indiqué que Smominru avait enregistré un taux de réinfection de 25% sur les machines sur lesquelles il avait été découvert et retiré.

Au total, la rapidité impressionnante avec laquelle Smominru infecte de nouveaux hôtes n’est pas due aux compétences et à la sophistication de ses opérateurs. Cela tient davantage à la réticence à suivre les bonnes pratiques les plus élémentaires en matière de cybersécurité, comme l'ont démontré les utilisateurs et les administrateurs système.

Smominru permet l'extraction de données cryptographiques et le vol d'informations d'identification

Une fois que Smominru se trouve sur une nouvelle machine, il commence par créer un nouvel utilisateur avec des droits d’administrateur sur le système. Avec cela, le ver a la carte blanche pour faire à peu près tout ce qu’il veut sur l’hôte infecté.

Les experts de Guardicore ont noté que les échantillons observés semblaient particulièrement hostiles aux produits de leurs concurrents. Peu de temps après une infection réussie, Smominru supprime les processus, supprime les fichiers et les tâches planifiées, et annule les modifications de registre associées à d'autres familles de programmes malveillants. Il bloque ensuite certains ports de réseau afin de réduire le risque que d'autres attaquants compromettent le même hôte.

Clairement, les opérateurs de Smominru ne veulent pas partager le butin, et quand vous voyez ce qu’il est, vous ne serez pas surpris. Depuis plus d'un an, le gang de Smominru utilise les ressources matérielles des hôtes infectés pour exploiter une crypto-monnaie connue sous le nom de Monero, mais selon le rapport de Guardicore, les charges utiles incluent désormais un outil de test de pénétration appelé Mimikatz, capable de voler des noms d'utilisateur. mots de passe et autres informations personnelles. En effet, alors qu'ils examinaient les journaux dans C & C de Smominru, les chercheurs ont remarqué plusieurs identifiants de connexion volés.

En parlant du C & C, les experts ont également souligné que les opérateurs de Smominru avaient construit une infrastructure d’arrière-plan plutôt sérieuse. Au moins 20 serveurs C & C sont installés dans le seul but de contrôler le ver. La plupart d’entre eux sont situés aux États-Unis, mais il en existe également dans des pays comme la Malaisie et la Bulgarie, ce qui signifie qu’il sera extrêmement difficile de tout arrêter.

Et cela signifie que les utilisateurs et les administrateurs système devraient probablement revoir leur configuration réseau et leur stratégie de mise à jour et voir si leurs systèmes sont vulnérables à une attaque de Smominru.

Par Duran
October 9, 2019
Malware
Français
October 9, 2019
Malware

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.