Fonte https://www.cert-pa.it/notizie/botnet-smominru-continua-la-diffusione/
Smominru, la botnet attiva dal 2017, ha ripreso l’attività infettando, nel solo mese di agosto, circa 90.000 macchine in tutto il mondo. Come in passato, questa botnet continua a prendere di mira i sistemi MS Windows, nello specifico Windows 7 e Windows Server 2008, utilizzando un exploit di EternalBlue.
Oltre a utilizzare l’exploit, la botnet può compromette le macchine utilizzando attacchi brute force su diversi servizi e protocolli, come MS-SQL, RDP e Telnet.
Secondo il rapporto dei ricercatori di Guardicore Labs, durante l’infezione, uno script PowerShell (blueps.txt) viene scaricato sulla macchina eseguendo tre operazioni. Nello specifico:
- Scarica ed esegue tre file binari: un downloader worm (u.exe / ups.exe ), un Trojan (upsupx.exe) e un rootkit MBR (max.exe / ok.exe).
- Il file u.exe pone le basi per il worm scaricando DLL necessarie per eseguire scansioni di rete. Quindi, si connette a un server di attacco, controlla l’ultima versione del worm e lo scarica.
- Il file “upsupx.exe” serve a rilasciare una variante del Trojan open source chiamato “PcShare“.
- Il Trojan racchiude molte funzionalità, tra cui download ed esecuzione, comando e controllo, acquisizione di schermate e furto di informazioni.
- Crea un nuovo utente amministratore chiamato admin$sul sistema.
- Scarica script aggiuntivi per eseguire azioni dannose.
I ricercatori hanno inoltre scoperto che molte macchine sono state reinfettate anche dopo aver rimosso Smominru e hanno sviluppato e rilasciato uno script Powershell per rilevare le macchine infette dal worm.
Di seguito, la mappa dei Paesi più colpiti:
La diffusione di Smominru è facilitata sia dall’utilizzo di password deboli che dall’esistenza di macchine vulnerabili ad EternalBlue. Le macchine ancora affette dalla vulnerabilità consentono alla campagna di continuare a propagarsi sul web e al malware di installarsi all’interno dei sistemi. Pertanto, è fondamentale allineare i sistemi operativi con gli aggiornamenti software attualmente disponibili. Tuttavia, l’applicazione di patch potrebbe non essere attività semplice in certe condizioni perciò è importante valutare ulteriori misure di sicurezza nel data center come nell’organizzazione.
Elementi da adottare o valutare per mantenere una solida livello di sicurezza contro minacce come Smominru sono:
- la segmentazione della rete;
- l’uso di sistemi di rilevamento, in tempo reale, delle minacce provenienti dal traffico Internet;
- la limitazione dei server e servizi esposti alla rete Internet.