Incontra Smominru, un malware pericoloso che potrebbe tentare di rubare le tue credenziali
Si potrebbe dire che il worm Smominru non è la minaccia informatica più conosciuta là fuori. In effetti ha attirato una certa attenzione, principalmente da esperti di sicurezza informatica, ma nel complesso non è stato menzionato nelle notizie con la stessa frequenza di Trickbot , ad esempio. Tuttavia, negli ultimi tre anni, ha tormentato gli utenti Windows in tutto il mondo e recentemente i ricercatori di Guardicore hanno deciso di dare un'occhiata più da vicino e vedere come sta andando. Le loro scoperte furono piuttosto sorprendenti.
Gli esperti sono riusciti ad accedere a uno dei server Command & Control (C&C) principali del malware e a leggere i registri. Hanno scoperto che durante il solo mese di agosto, Smominru è riuscito a infettare 90.000 dispositivi Windows. Questa è una media di 4.700 computer e server al giorno.
Come la maggior parte delle minacce di questo tipo, Smominru non si rivolge a utenti o organizzazioni particolari. Il worm ha macchine infette che appartengono a tutti i tipi di aziende che lavorano in una varietà di settori diversi. Cina, Taiwan, Russia, Brasile e Stati Uniti hanno registrato il maggior numero di vittime in agosto e Guardicore ha affermato che la maggior parte dei dispositivi infetti erano piccoli server.
Tutto sommato, mentre potrebbe non essere la famiglia di malware più riconoscibile, Smominru sembra essere molto più attivo di alcuni dei suoi concorrenti più noti e sta chiaramente riuscendo a colpire un gran numero di utenti. Come sta andando?
Tecniche semplici e vecchi exploit sono alla base del successo di Smominru
Smominru ha due modi per infettare nuovi host e spostarsi lateralmente nella rete. O si fa strada attraverso l'uso di servizi Windows come RDP e Telnet, oppure usa qualcosa noto come EternalBlue.
L'attacco a forza bruta è probabilmente lo strumento più semplice nell'arsenale degli hacker. Sfortunatamente, poiché le persone tendono ad usare le stesse password deboli, spesso è anche una delle più efficaci. Nel caso di Smominru, alcuni errori di configurazione aiutano.
RDP e Telnet sono vecchi protocolli di rete con alternative più moderne e affidabili. Non molte persone li usano al giorno d'oggi, eppure, molti amministratori di sistema li lasciano in esecuzione. Abbinalo alle password deboli (o predefinite) che le proteggono e vedrai come minacce come Smominru possono spostarsi facilmente nella rete.
La stessa negligenza è al centro del secondo vettore di infezione di Smominru: EternalBlue. EternalBlue è un exploit presumibilmente sviluppato dalla NSA, che sfrutta una specifica vulnerabilità di Windows. È trapelato nell'aprile 2017 ed è stato così potente che Microsoft ha fatto di tutto per rilasciare patch per sistemi che avevano raggiunto la fine del loro supporto. Nonostante ciò, a maggio e giugno dello stesso anno, EternalBlue è stato utilizzato in due dei più gravi attacchi informatici dell'ultimo decennio: gli scoppi di ransomware WannaCry e NotPetya.
Penseresti che ormai gli utenti, e in particolare i responsabili dei server aziendali, avrebbero patchato i loro sistemi, ma purtroppo non è così.
Infatti, l'85% di tutte le macchine infettate da Smominru durante la campagna di agosto viene eseguito su Windows 7 o Windows Server 2008 R2, il che dimostra che le persone stanno ancora utilizzando software selvaggiamente obsoleto. E anche se ci sono patch disponibili anche per queste versioni antiche, gli utenti non vogliono applicarle. Guardicore ha riferito che Smominru ha registrato un tasso di reinfezione del 25% su macchine in cui è stato inizialmente scoperto e rimosso.
Tutto sommato, la velocità impressionante con cui Smominru infetta i nuovi host non dipende dalle capacità e dalla raffinatezza dei suoi operatori. Ha più a che fare con la riluttanza a seguire le migliori pratiche di cibersicurezza di base, come dimostrato sia dagli utenti che dagli amministratori di sistema.
Smominru consente il mining di criptovalute e il furto di credenziali
Una volta che Smominru si trova su una nuova macchina, inizia innanzitutto a creare un nuovo utente sul sistema con diritti amministrativi. Con questo, il worm ha la carta bianca per fare praticamente tutto ciò che vuole sull'host infetto.
Gli esperti di Guardicore hanno osservato che i campioni osservati sembravano essere particolarmente ostili nei confronti dei prodotti della concorrenza. Poco dopo un'infezione riuscita, Smominru uccide i processi, elimina i file e le attività pianificate e ripristina le modifiche al registro associate ad altre famiglie di malware. Quindi blocca alcune porte di rete per ridurre le possibilità che altri aggressori compromettano lo stesso host.
Chiaramente, gli operatori di Smominru non vogliono condividere il bottino, e quando vedi qual è il bottino detto, rimarrai sorpreso. Da oltre un anno, la banda di Smominru utilizza risorse hardware degli host infetti per estrarre una criptovaluta popolare di nome Monero, ma secondo il rapporto di Guardicore, i payload ora includono uno strumento di test di penetrazione chiamato Mimikatz che può rubare nomi utente, password e altre informazioni personali. Infatti, mentre stavano esaminando i registri nel C&C di Smominru, i ricercatori hanno notato alcune credenziali di accesso rubate.
Parlando del C&C, gli esperti hanno anche sottolineato che gli operatori di Smominru hanno costruito un'infrastruttura di back-end piuttosto seria. Esistono almeno 20 server C&C impostati con l'unico obiettivo di controllare il worm. La maggior parte di essi si trova negli Stati Uniti, ma ce ne sono alcuni anche in luoghi come la Malesia e la Bulgaria, il che significa che portare a termine l'intera operazione sarà estremamente difficile.
Ciò significa che gli utenti e gli amministratori di sistema dovrebbero probabilmente dare un'altra occhiata alla loro configurazione di rete e ai loro criteri di aggiornamento e vedere se i loro sistemi sono vulnerabili a un attacco Smominru.
