Conheça Smominru, um malware perigoso que pode tentar roubar suas credenciais

Você poderia dizer que o worm Smominru não é a ameaça cibernética mais conhecida por aí. De fato, atraiu alguma atenção, principalmente de especialistas em segurança cibernética, mas, no geral, não foi mencionado nas notícias com a mesma frequência que o Trickbot, por exemplo. No entanto, nos últimos três anos, tem atormentado os usuários do Windows em todo o mundo e, recentemente, pesquisadores da Guardicore decidiram dar uma olhada e ver como está indo. Suas descobertas foram bastante surpreendentes.

Os especialistas conseguiram acessar um dos principais servidores de Comando e Controle (C&C) do malware e ler os logs. Eles descobriram que apenas no mês de agosto, Smominru conseguiu infectar os impressionantes 90.000 dispositivos Windows. Isso representa uma média de 4.700 computadores e servidores por dia.

Como a maioria das ameaças desse tipo, o Smominru não está direcionando usuários ou organizações específicos. O worm infectou máquinas pertencentes a todo tipo de empresa que trabalha em diversos setores. China, Taiwan, Rússia, Brasil e EUA registraram as maiores vítimas em agosto, e a Guardicore disse que a maioria dos dispositivos infectados eram pequenos servidores.

Em suma, embora possa não ser a família de malware mais reconhecível, o Smominru parece ser muito mais ativo do que alguns de seus concorrentes mais conhecidos, e claramente está conseguindo afetar um grande número de usuários. Como está fazendo isso?

Técnicas simples e explorações antigas estão na raiz do sucesso de Smominru

Smominru tem duas maneiras de infectar novos hosts e se mover lateralmente pela rede. Ou força bruta no uso de serviços do Windows, como RDP e Telnet, ou usa algo conhecido como EternalBlue.

O ataque de força bruta é sem dúvida a ferramenta mais simples do arsenal dos hackers. Infelizmente, como as pessoas tendem a usar as mesmas senhas fracas, essa também é uma das mais eficazes. No caso de Smominru, alguns erros de configuração ajudam.

RDP e Telnet são protocolos de rede antigos que têm alternativas mais modernas e confiáveis. Hoje em dia, muitas pessoas não as usam, mas, apesar disso, muitos administradores de sistema as deixam em execução. Junte isso às senhas fracas (ou padrão) que as protegem e você verá como ameaças como Smominru podem se mover pela rede com facilidade.

A mesma negligência está no coração do segundo vetor de infecção de Smominru: EternalBlue. EternalBlue é uma exploração supostamente desenvolvida pela NSA, que tira proveito de uma vulnerabilidade específica do Windows. Foi vazado em abril de 2017, e era tão poderoso, que a Microsoft saiu do seu caminho e lançou patches para sistemas que atingiram seu fim de suporte. Apesar disso, em maio e junho do mesmo ano, o EternalBlue foi usado em dois dos ataques cibernéticos mais graves da última década - os surtos de ransomware WannaCry e NotPetya.

Você pensaria que os usuários, e especialmente os responsáveis pelos servidores da empresa, já teriam corrigido seus sistemas até agora, mas, infelizmente, esse não é o caso.

De fato, 85% de todas as máquinas infectadas pela Smominru durante a campanha de agosto são executadas no Windows 7 ou no Windows Server 2008 R2, o que mostra que as pessoas ainda estão usando software desatualizado. E embora existam patches disponíveis mesmo para essas versões antigas, os usuários simplesmente não querem aplicá-las. A Guardicore relatou que Smominru registrou uma taxa de reinfecção de 25% em máquinas onde foi descoberta e removida inicialmente.

Em suma, a velocidade impressionante com a qual Smominru infecta novos hosts não se deve às habilidades e sofisticação de seus operadores. Tem mais a ver com a relutância em seguir as boas práticas mais básicas de segurança cibernética, como demonstrado por usuários e administradores de sistema.

Smominru permite mineração de criptografia e roubo de credenciais

Depois que Smominru se encontra em uma nova máquina, primeiro começa a criar um novo usuário no sistema com direitos administrativos. Com isso, o worm tem a carta branca para fazer praticamente o que quiser no host infectado.

Os especialistas da Guardicore observaram que as amostras observadas pareciam ser especialmente hostis aos produtos dos concorrentes. Logo após uma infecção bem-sucedida, o Smominru mata processos, exclui arquivos e tarefas agendadas e reverte as alterações do registro associadas a outras famílias de malware. Em seguida, bloqueia algumas portas de rede para diminuir as chances de outros invasores comprometerem o mesmo host.

Claramente, os operadores de Smominru não querem compartilhar o saque e, quando você ver qual é o saque, não ficará surpreso. Há mais de um ano, a gangue Smominru usa os recursos de hardware dos hosts infectados para extrair uma criptomoeda popular chamada Monero, mas, de acordo com o relatório da Guardicore, as cargas agora incluem uma ferramenta de teste de penetração chamada Mimikatz, que pode roubar nomes de usuário, senhas e outras informações pessoais. De fato, enquanto observavam os registros na C&C de Smominru, os pesquisadores notaram algumas credenciais de login roubadas.

Falando da C&C, os especialistas também apontaram que as operadoras da Smominru construíram uma infraestrutura de back-end bastante séria. Existem pelo menos 20 servidores C&C configurados com o único objetivo de controlar o worm. A maioria deles está localizada nos EUA, mas também existem em lugares como Malásia e Bulgária, o que significa que derrubar toda a operação será extremamente difícil.

E isso significa que usuários e administradores de sistema provavelmente devem examinar novamente sua configuração de rede e sua política de atualização e verificar se seus sistemas estão vulneráveis a um ataque Smominru.