{"id":19411,"date":"2019-10-04T10:06:09","date_gmt":"2019-10-04T08:06:09","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=19411"},"modified":"2019-11-22T10:46:26","modified_gmt":"2019-11-22T08:46:26","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/smominru-botnet-eternalblue\/19411\/","title":{"rendered":"El botnet Smominru infecta a 4.700 equipos al d\u00eda"},"content":{"rendered":"

En activo desde el 2017, Smominru se ha convertido en uno de los malware<\/em> para ordenador de m\u00e1s r\u00e1pida expansi\u00f3n, seg\u00fan los datos de este informe<\/a>. En el 2019, consigui\u00f3 infectar un total de 90.000 equipos de todo el mundo tan solo en el mes de agosto, con una media de infecci\u00f3n de hasta 4.700 ordenadores al d\u00eda. China, Taiw\u00e1n, Rusia, Brasil y Estados Unidos han sido los m\u00e1s afectados, pero eso no quiere decir que otros pa\u00edses est\u00e9n fuera de su alcance. Por ejemplo, la red m\u00e1s amplia que ha atacado Smominru se encuentra en Italia, con 65 servidores infectados.<\/p>\n

C\u00f3mo se propaga el botnet<\/em> Smominru<\/h3>\n

Los delincuentes no tienen un objetivo definido, de hecho, abarcan desde universidades hasta personal sanitario. No obstante, cabe destacar que aproximadamente un 85 % de las infecciones tienen lugar en los sistemas de Windows Server 2008 y Windows 7. El porcentaje restante pertenece a Windows Server 2012, Windows XP y Windows Server 2003.<\/p>\n

Tras eliminar Smominru, aproximadamente un cuarto de los equipos afectados volvi\u00f3 a infectarse. Es decir, algunas v\u00edctimas limpiaron sus sistemas, pero ignoraron por completo la causa principal.<\/p>\n

Esto nos hace preguntarnos cu\u00e1l es el origen. El botnet<\/em> utiliza varios m\u00e9todos de propagaci\u00f3n, pero en primer lugar siempre infecta el sistema consiguiendo credenciales d\u00e9biles de diferentes servicios de Windows por fuerza bruta o, lo que es m\u00e1s com\u00fan, con la ayuda del famoso exploit<\/em><\/a> EternalBlue.<\/p>\n

En el 2017 Microsoft parche\u00f3 la vulnerabilidad que explota EternalBlue y que hizo posible el estallido de WannaCry<\/a> y NotPetya<\/a> incluso para los sistemas descatalogados, pero muchas empresas ignoran estas actualizaciones.<\/p>\n

El botnet<\/em> Smominru en acci\u00f3n<\/h3>\n

Despu\u00e9s de comprometer el sistema, Smominru crea un nuevo usuario, admin$, con privilegios de administrador y comienza a descargar archivos maliciosos. El objetivo m\u00e1s obvio es utilizar a escondidas los ordenadores infectados para la miner\u00eda de criptomonedas (en concreto, Monero) a costa de la v\u00edctima.<\/p>\n

No obstante, eso no es todo: el malware<\/em> tambi\u00e9n descarga una serie de m\u00f3dulos utilizados para el espionaje, la exfiltraci\u00f3n de datos y el robo de credenciales. Para colmo, una vez que Smominru consigue hacerse hueco, intenta propagarse por la red para infectar todos los sistemas que pueda.<\/p>\n

Un detalle interesante: el botnet<\/em> es muy competitivo y se deshace de cualquier rival que se encuentre en el ordenador infectado. Es decir, no solo inutiliza y bloquea cualquier otra actividad maliciosa que se ejecute en el dispositivo de la v\u00edctima, sino que tambi\u00e9n evita la infecci\u00f3n de cualquier otro contrincante.<\/p>\n

La infraestructura del ataque<\/h3>\n

El botnet<\/em> depende de m\u00e1s de 20 servidores dedicados, la mayor\u00eda se encuentran en Estados Unidos, aunque algunos est\u00e1n alojados en Malasia y Bulgaria. Como la infraestructura del ataque se distribuye a gran escala y es compleja y altamente flexible, es muy complicado deshacerse de ella con facilidad, por lo que parece que el botnet<\/em> estar\u00e1 activo durante bastante tiempo.<\/p>\n

C\u00f3mo proteger tu red, tus ordenadores y tus datos de Smominru:<\/p>\n