Oltre 526.000 computer, principalmente con S.O. Windows, sono stati infettati dal software di data mining Monero ad opera di un gruppo che gestisce la più grande botnet (la botnet si chiama Smominru) finora conosciuta. Le operazioni di questo gruppo sono note ai ricercatori di sicurezza già dallo scorso anno e varie aziende hanno pubblicato rapporti sulle attività. Gli artefici Smominru stanno utilizzando tecniche diverse per infettare le macchine. Principalmente si basano sull’utilizzo dell’exploit EternalBlue (CVE-2017-0144), ma hanno anche implementato EsteemAudit (CVE-2017-0176), entrambi mirati a rilevare le macchine con sistemi operativi Windows senza patch.Come ha sottolineato l’azienda GuardiCore, la botnet ha anche indirizzato i server MySQL su macchine Linux, oltre che a database MSSQL su server Windows.
Secondo i dati raccolti la maggior parte delle vittime si trova in Russia, India, Taiwan, Ucraina e Brasile. In un precedente il rapporto della GuardiCore ha dichiarato di avere prove evidenti che gli operatori di Smominru erano stati localizzati nella Cina continentale, mentre successivamente l’azienda di sicurezza Proofpoint afferma che la maggior parte degli scanner IP della botnet opera da una rete statunitense. Inoltre, Proofpoint ha anche sottolineato che Smominru è attualmente quasi due volte più grande della botnet Adylkuzz, la prima famiglia di malware (anche prima di WannaCry) ad aver usato l’exploit EternalBlue.
