17

Ponad 526,000 maszyn z Windows zainfekowane. Ogromna skala ataku

To zdecydowanie największy tego typu botnet na świecie. Smominru służący do "kopania" kryptowaluty Monero na zainfekowanych maszynach objął swoim zasięgiem ponad 526 000 komputerów (głównie serwerów) na całym globie.

Już wcześniej donoszono o funkcjonowaniu tego botnetu, jednak raporty firm zajmujących się cyberbezpieczeństwem były do tej pory niepełne i nie oddawały w pełni skali tego procederu. Doskonale wiedziano o tym, że Smominru został skonstruowany w taki sposób, by sukcesywnie infekować coraz więcej i więcej maszyn, ale nikt nie spodziewał się, że przybierze to aż taki rozmiar.

Najnowsze informacje pochodzą od Qihoo 360 NetLab (gdzie nazwano go „MyKings) oraz od Proofpoint i to właśnie one wskazują na masowość ataku. Według tych organizacji Smominru zainfekował ponad 526 000 maszyn i niestety, są to głównie serwery z Windows na pokładzie.

W jaki sposób zaatakowano maszyny z Windows za pomocą Smominru?

Biorąc pod uwagę ogromną liczbę zainfekowanych maszyn, oszacowano iż operatorzy botnetu zgromadzili zawrotne 8900 jednostek kryptowaluty Monero (o wartości przekraczającej 2,3 miliona dolarów…). Złośliwe oprogramowanie wykorzystuje różne luki, aby utorować sobie drogę do interesujących ich sprzętów: w kręgu zainteresowania są EternalBlue (CVE-2017-0144), ale istnieją sygnały, wedle których Smominru jest propagowane również przez EsteemAudit (CVE-2017-0176) i oczywiście, są to już podatności załatane. Ale – niektórzy administratorzy niekoniecznie biorą sobie do serca podstawowe zasady dotyczące łatania maszyn. Cyberprzestępcy interesują się nie tylko serwerami z linuksowskimi MySQL, ale także urządzeniami z Windows Server funkcjonującymi jako bazy danych MSSQL – pytanie, ile jest urządzeń z pingwinkiem na pokładzie zainfekowanych Smominru?

Smominru serwer

Szacuje się, że zainfekowanych jest nawet milion maszyn

Liczba 526 000 to wyliczenia oparte na potwierdzonych przypadkach, natomiast ta może być nawet dwukrotnie większa biorąc pod uwagę wcześniejsze trudności z jednoznacznym ocenieniem zasięgu botnetu.

Najwięcej przypadków zainfekowania Smominru zanotowano w Rosji, Indiach, Ukrainie, Brazylii oraz na Tajwanie. Istnieje sporo dowodów na to, że jego operatorzy mają swoją siedzibę w Chinach. Proofpoint natomiast wykazywał wcześniej, że za tym atakiem mogą stać… Amerykanie.

Kopanie kryptowalut na „naprawdę całego”

Szał na kryptowaluty trwa w najlepsze i tego typu zagrożeń będzie więcej. Nie tylko administratorzy więc, ale i zwykli użytkownicy (którzy również padli ofiarą Smominru) powinni pamiętać, że aktualizacje, które pojawiają się w Windows Update do czegoś służą i raczej nie zostały skonstruowane tylko dlatego, żeby wkurzać konsumentów monitami. Skrupulatnie uaktualniana maszyna stanowi całkiem dobrą gwarancję tego, że nic się do naszego komputera nie przyczepi. Trudno jednak wymagać tego od zwykłych użytkowników, skoro nie pamiętają o tym nawet administratorzy, którzy powinni tego bezwzględnie pilnować. Jak widać na powyższym przykładzie, to właśnie niefrasobliwość w tej materii spowodowała ogromne rozrośnięcie się Smominru.