Attivo dal 2017, Smominru è oggi uno dei malware che, secondo un recente report di Kaspersky Lab, è tra i più veloci a diffondersi. Nel 2019, solo ad agosto, ha infettato 90.000 computer in tutto il mondo, con un tasso di infezione di circa 4.700 computer al giorno. Cina, Taiwan, Russia, Brasile e USA sono gli stati con maggior numero di vittime, ma non significa che gli altri Paesi siano fuori dal radar. Ad esempio, la rete più grande nel mirino di Smominru si trovava in Italia, con 65 host infetti.

Come si diffonde la botnet Smominru?

I criminali coinvolti non hanno dei bersagli ben precisi, vanno da università a strutture sanitarie. Tuttavia, emerge una caratteristica costante: circa l’85% delle infezioni si verifica nei sistemi operativi Windows 7 e Windows Server 2008, mentre nei restanti casi si tratta di Windows Server 2012, Windows XP e Windows Server 2003. Circa un quarto dei computer interessati è stato colpito nuovamente dopo la rimozione di Smominru. In altre parole, alcune delle vittime hanno ripulito il loro PC ma hanno ignorato la causa di fondo.

Ciò ci porta proprio al quesito: qual è la causa? Beh, per diffondersi la botnet utilizza diversi metodi ma agisce principalmente in due modi, utilizzando il metodo di forza bruta per riuscire a ricavare le credenziali corrette di diversi servizi Windows, o più comunemente affidandosi al tristemente noto exploit EternalBlue. Anche se Microsoft ha corretto la vulnerabilità dell’exploit EternalBlue, il quale ha reso possibile la diffusione di WannaCry e NotPetya nel 2017, molte aziende usano ancora sistemi operativi ormai fuori produzione o più semplicemente ignorano gli aggiornamenti.

La botnet Smominru in azione

Dopo aver compromesso il sistema, Smominru crea un nuovo utente chiamato admin$ dotato di autorizzazioni da amministratore, il quale inizia a scaricare numerosissimi payload dannosi. L’obiettivo più ovvio è quello di usare silenziosamente i computer infetti per il mining di criptomonete a scapito delle vittime (nello specifico Monero).

SMOMINRU

Ma non è tutto. Il malware infatti scarica anche un set di moduli utilizzati per spiare e rubare dati e credenziali di accesso, ma soprattutto, dopo aver preso piede, Smomirnu cerca di espandersi nella rete per infettare il maggior numero di sistemi possibile ed elimina tutti i rivali che trova nel computer infetto. In altre parole, non solo disattiva ed elimina tutte le attività dannose presenti sul dispositivo, ma blocca anche le infezioni della concorrenza.

L’infrastruttura d’attacco

La botnet si basa su oltre 20 server dedicati, che si trovano prevalentemente negli Stati Uniti e alcuni in Malesia e Bulgaria. L’infrastruttura d’attacco di Smominru è così ampiamente diffusa, complessa ed estremamente flessibile da essere molto difficile da eliminare, ed è possibile quindi che la botnet rimanga attiva per molto tempo.

Ecco come Kaspersky Lab consiglia di proteggere la vostra rete, i computer e i vostri dati da Smominru:

  • Aggiornate regolarmente i vostri sistemi operativi e gli altri software
  • Utilizzate una password robusta. Un password manager vi aiuta a creare, gestire, recuperare e inserire le vostre password. Inoltre, vi proteggerà dagli attacchi di forza bruta
  • Avvaletevi di una buona soluzione di sicurezza