{"id":18089,"date":"2019-10-03T18:09:54","date_gmt":"2019-10-03T16:09:54","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=18089"},"modified":"2019-11-22T10:46:10","modified_gmt":"2019-11-22T08:46:10","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/smominru-botnet-eternalblue\/18089\/","title":{"rendered":"La botnet Smominru infetta ogni giorno 4.700 nuovi PC"},"content":{"rendered":"

Attivo dal 2017, Smominru \u00e8 oggi uno dei malware che, secondo un rapporto disponibile all\u2019opinione pubblica<\/a>, \u00e8 tra i pi\u00f9 veloci a diffondersi . Nel 2019, solo ad agosto, ha infettato 90 mila computer in tutto il mondo, con un tasso di infezione di circa 4.700 computer al giorno. Cina, Taiwan, Russia, Brasile e USA sono gli stati con maggior numero di vittime, ma non significa che gli altri paesi siano fuori dal radar. Ad esempio, la rete pi\u00f9 grande nel mirino di Smominru si trovava in Italia, con 65 host infetti.<\/p>\n

Come si diffonde la botnet Smominru?<\/h3>\n

I criminali coinvolti non hanno dei bersagli ben precisi, vanno da universit\u00e0 a strutture sanitarie. Tuttavia, emerge una caratteristica costante: circa l\u201985% delle infezioni si verifica nei sistemi operativi Windows 7 e Windows Server 2008, mentre nei restanti casi si tratta di Windows Server 2012, Windows XP e Windows Server 2003.<\/p>\n

Circa un quarto dei computer interessati \u00e8 stato colpito nuovamente dopo la rimozione di Smominru. In altre parole, alcune delle vittime hanno ripulito il loro PC ma hanno ignorato la causa di fondo.<\/p>\n

Ci\u00f2 ci porta proprio al quesito: qual \u00e8 la causa? Beh, per diffondersi la botnet utilizza diversi metodi ma agisce principalmente in due modi: o utilizzando il metodo di forza bruta per riuscire a ricavare le credenziali corrette di diversi servizi Windows, o pi\u00f9 comunemente affidandosi al tristemente noto exploit EternalBlue.<\/p>\n

Anche se Microsoft ha corretto la vulnerabilit\u00e0 dell\u2019exploit EternalBlue, il quale ha reso possibile la diffusione di WannaCry<\/a> e NotPetya<\/a> nel 2017, molte aziende usano ancora sistemi operativi ormai fuori produzione o pi\u00f9 semplicemente ignorano gli aggiornamenti.<\/p>\n

La botnet Smominru in azione<\/h3>\n

Dopo aver compromesso il sistema, Smominru crea un nuovo utente chiamato admin$ dotato di autorizzazioni da amministratore, il quale inizia a scaricare numerosissimi payload dannosi. L\u2019obiettivo pi\u00f9 ovvio \u00e8 quello di usare silenziosamente i computer infetti per il mining di criptomonete a scapito delle vittime\u00a0(nello specifico Monero).<\/p>\n

Ma non \u00e8 tutto: il malware scarica anche un set di moduli utilizzati per spiare e rubare dati e credenziali di accesso; ma soprattutto, dopo aver preso piede, Smomirnu cerca di espandersi nella rete per infettare il maggior numero di sistemi possibile.<\/p>\n

Ecco un dettaglio interessante: la botnet \u00e8 molto competitiva ed elimina tutti i rivali che trova nel computer infetto. In altre parole, non solo disattiva ed elimina tutte le attivit\u00e0 dannose presenti sul dispositivo ma blocca anche le infezioni della concorrenza.<\/p>\n

L\u2019infrastruttura d\u2019attacco<\/h3>\n

La botnet si basa su oltre 20 server dedicati, che si trovano prevalentemente negli Stati Uniti e alcuni in Malesia e Bulgaria. L\u2019infrastruttura d\u2019attacco di Smominru \u00e8 cos\u00ec ampiamente diffusa, complessa ed estremamente flessibile da essere molto difficile da eliminare, ed \u00e8 possibile quindi che la botnet rimanga attiva per molto tempo.<\/p>\n

Ecco come proteggere la vostra rete, i computer e i vostri dati da Smominru:<\/p>\n