{"id":12457,"date":"2019-10-18T18:09:24","date_gmt":"2019-10-18T21:09:24","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=12457"},"modified":"2020-11-16T12:46:55","modified_gmt":"2020-11-16T15:46:55","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/smominru-botnet-eternalblue\/12457\/","title":{"rendered":"Botnet Smominru infecta 4,7 mil computadores por dia"},"content":{"rendered":"

Ativo desde 2017, o Smominru se tornou um dos malwares de computador com a mais r\u00e1pida expans\u00e3o, de acordo com dados deste relat\u00f3rio<\/a>. Em 2019, ele conseguiu infectar um total de 90 mil computadores apenas no m\u00eas de agosto, com uma infec\u00e7\u00e3o m\u00e9dia de at\u00e9 4,7 mil computadores por dia. China, Taiwan, R\u00fassia, Brasil e Estados Unidos foram os pa\u00edses mais afetados, mas isso n\u00e3o significa que outros estejam longe do alcance. Por exemplo, a maior rede que sofreu o ataque Smominru<\/strong> est\u00e1 na It\u00e1lia, com 65 servidores infectados.<\/p>\n

Como se propaga a botnet<\/em> Smominru<\/strong><\/h3>\n

Os cibercriminosos n\u00e3o t\u00eam um objetivo definido; de fato, os ataques online variam de universidades a profissionais de sa\u00fade. No entanto, deve-se observar que aproximadamente 85% das infec\u00e7\u00f5es por esse malware ocorre nos sistemas Windows Server 2008 e 7. A porcentagem dos demais casos pertence ao Server 2012, XP e Server 2003.<\/p>\n

Ap\u00f3s remover o Smominru<\/strong>, aproximadamente um quarto dos computadores afetados foi infectado novamente. Ou seja, algumas v\u00edtimas limparam seus sistemas, mas ignoraram completamente a causa principal.<\/p>\n

Isso nos faz pensar qual \u00e9 a origem. A botnet<\/strong> usa v\u00e1rios m\u00e9todos de propaga\u00e7\u00e3o, mas primeiro sempre infecta o sistema por meio de credenciais fracas de diferentes servi\u00e7os do Windows pela for\u00e7a bruta ou, o que \u00e9 mais comum, com a ajuda do famoso exploit<\/a> EternalBlue.<\/p>\n

Em 2017, a Microsoft corrigiu a vulnerabilidade que explora o EternalBlue e tornou poss\u00edvel o surto do WannaCry<\/a> e do NotPetya<\/a> mesmo para sistemas descontinuados, por\u00e9m muitas empresas ignoram essas atualiza\u00e7\u00f5es.<\/p>\n

A botnet Smominru em a\u00e7\u00e3o<\/strong><\/h3>\n

Ap\u00f3s comprometer o sistema, o malware Smominru cria um novo usu\u00e1rio, admin$, com privil\u00e9gios de administrador e come\u00e7a a baixar arquivos maliciosos. <\/strong>O objetivo mais \u00f3bvio desse ciberataque \u00e9 usar secretamente computadores infectados para minera\u00e7\u00e3o de criptomoeda<\/a> (especificamente Monero) \u00e0s custas da v\u00edtima.<\/p>\n

No entanto, isso n\u00e3o \u00e9 tudo: o malware tamb\u00e9m baixa uma s\u00e9rie de m\u00f3dulos usados \u200b\u200bpara espionagem, exfiltra\u00e7\u00e3o de dados e roubo de credenciais. Para piorar a situa\u00e7\u00e3o, uma vez que Smominru consegue se infiltrar, ele tenta se dispersar pela rede para infectar todos os sistemas que conseguir.<\/p>\n

Um detalhe interessante: a rede de bots Smominru \u00e9 muito competitiva e se livra de qualquer rival que esteja no computador infectado. Ou seja, ele n\u00e3o apenas desativa e bloqueia qualquer outra atividade maliciosa executada no dispositivo da v\u00edtima, como tamb\u00e9m evita a infec\u00e7\u00e3o por parte de qualquer outro golpista.<\/p>\n

A infraestrutura de ataque<\/strong><\/h3>\n

A botnet<\/em><\/strong><\/a> depende de mais de 20 servidores dedicados, a maioria se encontra nos Estados Unidos, como outros est\u00e3o espalhados na Mal\u00e1sia e Bulg\u00e1ria.<\/p>\n

Como a infraestrutra de ciberataque est\u00e1 dispersa em larga escala, \u00e9 complexa e altamente flex\u00edvel, \u00e9 muito complicado desfaz\u00ea-la com facilidade, \u00e9 muito dif\u00edcil se livrar dele facilmente, portanto parece que\u00a0 ficar\u00e1 ativa por algum tempo.<\/p>\n

Como proteger sua rede, seus computadores e seus dados contra o malware Smominru:<\/p>\n