Faites connaissance avec Smominru, un malware malveillant qui pourrait tenter de voler vos informations d'identification

Vous pourriez dire que le ver Smominru n'est pas la cybermenace la plus largement connue. Il a en effet attiré une certaine attention, principalement par des experts en cybersécurité, mais dans l'ensemble, cela n'a pas été mentionné dans les nouvelles aussi souvent que Trickbot, par exemple. Néanmoins, au cours des trois dernières années, les utilisateurs de Windows ont été tourmentés à travers le monde. Récemment, des chercheurs de Guardicore ont décidé de regarder de plus près et de voir comment cela se passerait. Leurs découvertes étaient plutôt surprenantes.

Les experts ont réussi à accéder à l’un des serveurs centraux du logiciel malveillant (C&C) et à lire les journaux. Ils ont découvert que rien qu’au mois d’août, Smominru avait réussi à infecter 90 000 appareils Windows. Cela représente une moyenne de 4 700 ordinateurs et serveurs par jour.

Comme la plupart des menaces de ce type, Smominru ne cible pas des utilisateurs ou des organisations particuliers. Le ver a infecté des machines appartenant à toutes sortes de sociétés travaillant dans différents secteurs. La Chine, Taiwan, la Russie, le Brésil et les États-Unis ont enregistré le plus grand nombre de victimes en août, et Guardicore a déclaré que la majorité des appareils infectés étaient de petits serveurs.

Dans l’ensemble, bien qu’il ne s’agisse peut-être pas de la famille de logiciels malveillants la plus reconnaissable, Smominru semble être beaucoup plus actif que certains de ses concurrents plus connus et parvient clairement à toucher un grand nombre d’utilisateurs. Comment fait-il ça?

Les techniques simples et les vieux exploits sont à la base du succès de Smominru

Smominru dispose de deux méthodes pour infecter de nouveaux hôtes et se déplacer latéralement sur le réseau. Soit il se force à utiliser des services Windows tels que RDP et Telnet, soit il utilise quelque chose appelé EternalBlue.

L’attaque par force brute est sans doute l’outil le plus simple de l’arsenal des pirates. Malheureusement, les gens ayant tendance à utiliser les mêmes mots de passe faibles, c'est souvent l'un des plus efficaces. Dans le cas de Smominru, quelques erreurs de configuration sont utiles.

RDP et Telnet sont d'anciens protocoles de réseau offrant des alternatives plus modernes et plus fiables. De nos jours, peu de gens les utilisent et pourtant, malgré cela, de nombreux administrateurs système les laissent fonctionner. Ajoutez à cela les mots de passe faibles (ou par défaut) qui les protègent et vous verrez comment des menaces telles que Smominru peuvent se déplacer facilement sur le réseau.

La même négligence est au cœur du deuxième vecteur d'infection de Smominru: EternalBlue. EternalBlue est un exploit prétendument développé par la NSA, qui tire parti d'une vulnérabilité spécifique de Windows. Elle a été divulguée en avril 2017 et était tellement puissante que Microsoft s’est écarté de son chemin et a publié des correctifs pour les systèmes dont la prise en charge était terminée.. Malgré cela, en mai et juin de la même année, EternalBlue a été utilisé dans deux des cyberattaques les plus graves de la dernière décennie - les épidémies de rançongiciel WannaCry et NotPetya.

On pourrait penser que les utilisateurs, et en particulier les responsables des serveurs de l'entreprise, auraient déjà mis à jour leurs systèmes, mais malheureusement, ce n'est pas le cas.

En fait, 85% de toutes les machines infectées par Smominru au cours de la campagne du mois d’août sont exécutées sous Windows 7 ou Windows Server 2008 R2, ce qui montre que les utilisateurs utilisent toujours des logiciels extrêmement obsolètes. Et bien qu'il existe des correctifs disponibles même pour ces versions anciennes, les utilisateurs ne veulent tout simplement pas les appliquer. Guardicore a indiqué que Smominru avait enregistré un taux de réinfection de 25% sur les machines sur lesquelles il avait été découvert et retiré.

Au total, la rapidité impressionnante avec laquelle Smominru infecte de nouveaux hôtes n’est pas due aux compétences et à la sophistication de ses opérateurs. Cela tient davantage à la réticence à suivre les bonnes pratiques les plus élémentaires en matière de cybersécurité, comme l'ont démontré les utilisateurs et les administrateurs système.

Smominru permet l'extraction de données cryptographiques et le vol d'informations d'identification

Une fois que Smominru se trouve sur une nouvelle machine, il commence par créer un nouvel utilisateur avec des droits d’administrateur sur le système. Avec cela, le ver a la carte blanche pour faire à peu près tout ce qu’il veut sur l’hôte infecté.

Les experts de Guardicore ont noté que les échantillons observés semblaient particulièrement hostiles aux produits de leurs concurrents. Peu de temps après une infection réussie, Smominru supprime les processus, supprime les fichiers et les tâches planifiées, et annule les modifications de registre associées à d'autres familles de programmes malveillants. Il bloque ensuite certains ports de réseau afin de réduire le risque que d'autres attaquants compromettent le même hôte.

Clairement, les opérateurs de Smominru ne veulent pas partager le butin, et quand vous voyez ce qu’il est, vous ne serez pas surpris. Depuis plus d'un an, le gang de Smominru utilise les ressources matérielles des hôtes infectés pour exploiter une crypto-monnaie connue sous le nom de Monero, mais selon le rapport de Guardicore, les charges utiles incluent désormais un outil de test de pénétration appelé Mimikatz, capable de voler des noms d'utilisateur. mots de passe et autres informations personnelles. En effet, alors qu'ils examinaient les journaux dans C & C de Smominru, les chercheurs ont remarqué plusieurs identifiants de connexion volés.

En parlant du C & C, les experts ont également souligné que les opérateurs de Smominru avaient construit une infrastructure d’arrière-plan plutôt sérieuse. Au moins 20 serveurs C & C sont installés dans le seul but de contrôler le ver. La plupart d’entre eux sont situés aux États-Unis, mais il en existe également dans des pays comme la Malaisie et la Bulgarie, ce qui signifie qu’il sera extrêmement difficile de tout arrêter.

Et cela signifie que les utilisateurs et les administrateurs système devraient probablement revoir leur configuration réseau et leur stratégie de mise à jour et voir si leurs systèmes sont vulnérables à une attaque de Smominru.

October 9, 2019

Laisser une Réponse

IMPORTANT! Pour pouvoir procéder, vous devrez résoudre le calcul simple suivant.
Please leave these two fields as is:
Qu'est-ce que 10 + 2 ?