El botnet Smominru infecta a 4.700 equipos al día

4 Oct 2019

En activo desde el 2017, Smominru se ha convertido en uno de los malware para ordenador de más rápida expansión, según los datos de este informe. En el 2019, consiguió infectar un total de 90.000 equipos de todo el mundo tan solo en el mes de agosto, con una media de infección de hasta 4.700 ordenadores al día. China, Taiwán, Rusia, Brasil y Estados Unidos han sido los más afectados, pero eso no quiere decir que otros países estén fuera de su alcance. Por ejemplo, la red más amplia que ha atacado Smominru se encuentra en Italia, con 65 servidores infectados.

El objetivo del botnet Smominru son los equipos con Windows desactualizados que utilizan el exploit EternalBlue.

Cómo se propaga el botnet Smominru

Los delincuentes no tienen un objetivo definido, de hecho, abarcan desde universidades hasta personal sanitario. No obstante, cabe destacar que aproximadamente un 85 % de las infecciones tienen lugar en los sistemas de Windows Server 2008 y Windows 7. El porcentaje restante pertenece a Windows Server 2012, Windows XP y Windows Server 2003.

Tras eliminar Smominru, aproximadamente un cuarto de los equipos afectados volvió a infectarse. Es decir, algunas víctimas limpiaron sus sistemas, pero ignoraron por completo la causa principal.

Esto nos hace preguntarnos cuál es el origen. El botnet utiliza varios métodos de propagación, pero en primer lugar siempre infecta el sistema consiguiendo credenciales débiles de diferentes servicios de Windows por fuerza bruta o, lo que es más común, con la ayuda del famoso exploit EternalBlue.

En el 2017 Microsoft parcheó la vulnerabilidad que explota EternalBlue y que hizo posible el estallido de WannaCry y NotPetya incluso para los sistemas descatalogados, pero muchas empresas ignoran estas actualizaciones.

El botnet Smominru en acción

Después de comprometer el sistema, Smominru crea un nuevo usuario, admin$, con privilegios de administrador y comienza a descargar archivos maliciosos. El objetivo más obvio es utilizar a escondidas los ordenadores infectados para la minería de criptomonedas (en concreto, Monero) a costa de la víctima.

No obstante, eso no es todo: el malware también descarga una serie de módulos utilizados para el espionaje, la exfiltración de datos y el robo de credenciales. Para colmo, una vez que Smominru consigue hacerse hueco, intenta propagarse por la red para infectar todos los sistemas que pueda.

Un detalle interesante: el botnet es muy competitivo y se deshace de cualquier rival que se encuentre en el ordenador infectado. Es decir, no solo inutiliza y bloquea cualquier otra actividad maliciosa que se ejecute en el dispositivo de la víctima, sino que también evita la infección de cualquier otro contrincante.

La infraestructura del ataque

El botnet depende de más de 20 servidores dedicados, la mayoría se encuentran en Estados Unidos, aunque algunos están alojados en Malasia y Bulgaria. Como la infraestructura del ataque se distribuye a gran escala y es compleja y altamente flexible, es muy complicado deshacerse de ella con facilidad, por lo que parece que el botnet estará activo durante bastante tiempo.

Cómo proteger tu red, tus ordenadores y tus datos de Smominru: