Botnet Smominru: continua la diffusione

19/09/2019

botnet eternalblue mysql RDP Smominru telnet

Smominru, la botnet attiva dal 2017, ha ripreso l’attività infettando, nel solo mese di agosto, circa 90.000 macchine in tutto il mondo. Come in passato, questa botnet continua a prendere di mira i sistemi MS Windows, nello specifico Windows 7 e Windows Server 2008, utilizzando un exploit di EternalBlue.

Oltre a utilizzare l’exploit, la botnet può compromette le macchine utilizzando attacchi brute force su diversi servizi e protocolli, come MS-SQL, RDP e Telnet.

Secondo il rapporto dei ricercatori di Guardicore Labs, durante l’infezione, uno script PowerShell (blueps.txt) viene scaricato sulla macchina eseguendo tre operazioni. Nello specifico:

  1. Scarica ed esegue tre file binari: un downloader worm (u.exe / ups.exe ), un Trojan (upsupx.exe) e un rootkit MBR (max.exe / ok.exe).
    • Il file u.exe pone le basi per il worm scaricando DLL necessarie per eseguire scansioni di rete. Quindi, si connette a un server di attacco, controlla l’ultima versione del worm e lo scarica.
    • Il file “upsupx.exe” serve a rilasciare una variante del Trojan open source chiamato “PcShare“.
    • Il Trojan racchiude molte funzionalità, tra cui download ed esecuzione, comando e controllo, acquisizione di schermate e furto di informazioni.
  2. Crea un nuovo utente amministratore chiamato admin$ sul sistema.
  3. Scarica script aggiuntivi per eseguire azioni dannose.

I ricercatori hanno inoltre scoperto che molte macchine sono state reinfettate anche dopo aver rimosso Smominru e hanno sviluppato e rilasciato uno script Powershell per rilevare le macchine infette dal worm.

Di seguito, la mappa dei Paesi più colpiti:

Mitigazione

La diffusione di Smominru è facilitata sia dall’utilizzo di password deboli che dall’esistenza di macchine vulnerabili ad EternalBlue. Le macchine ancora affette dalla vulnerabilità consentono alla campagna di continuare a propagarsi sul web e al malware di installarsi all’interno dei sistemi. Pertanto, è fondamentale allineare i sistemi operativi con gli aggiornamenti software attualmente disponibili. Tuttavia, l’applicazione di patch potrebbe non essere attività semplice in certe condizioni perciò è importante valutare ulteriori misure di sicurezza nel data center come nell’organizzazione.

Elementi da adottare o valutare per mantenere una solida livello di sicurezza contro minacce come Smominru sono:

  • la segmentazione della rete;
  • l’uso di sistemi di rilevamento, in tempo reale, delle minacce provenienti dal traffico Internet;
  • la limitazione dei server e servizi esposti alla rete Internet.

Indicatori di compromissione