pro100lev

Ботнет Smominru взламывает более 90 тыс. компьютеров каждый месяц

Senator
Оффлайн

Senator

Заблокирован
.
Регистрация
12.01.18
Сообщения
1.064
Реакции
189
Репутация
10
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован! Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
You must be registered for see images attach
Предназначенный для добычи криптовалюты и кражи учетных данных ботнет Smominru (также известен как Ismo) начал распространяться с невероятной скоростью. По словам исследователей из команды Guardicore Labs, ботнет каждый месяц заражает более 90 тыс. компьютеров по всему миру.

Только в августе нынешнего года более 4,9 тыс. сетей были заражены вредоносом. Кампания затронула расположенные в США высшие учебные заведения, медицинские фирмы и даже компании, занимающиеся кибербезопасностью, а также системы в Китае, Тайване, России и Бразилии. Большинство зараженных машин работают под управлением Windows 7 и Windows Server 2008 и представляют собой небольшие серверы с 1-4 ядрами ЦП, в результате чего многие из них оказались непригодным для использования из-за чрезмерной нагрузки на ЦП в процессе майнинга.

Ботнет Smominru с 2017 года компрометирует системы на базе Windows с помощью эксплоита EternalBlue, созданного Агентством национальной безопасности США, но позже обнародованного киберпреступной группировкой Shadow Brokers. Червь был разработан для получения доступа к уязвимым системам методом брутфорса различных служб Windows, включая MS-SQL, RDP и Telnet.

Оказавшись на системе, Smominru устанавливает троянское вредоносное ПО и майнер криптовалюты, распространяется внутри сети, и использует возможности ЦП компьютеров жертв для майнинга Monero и отправки его на кошелек злоумышленников.

Злоумышленники создают множество бэкдоров на компьютере на разных этапах атаки. К ним относятся новые созданные пользователи, запланированные задачи, объекты WMI и службы, настроенные для запуска во время загрузки. Исследователям удалось получить доступ к одному из основных серверов злоумышленников, на котором хранится информация о жертвах и их украденные учетные данные.

«Логи злоумышленников описывают каждую зараженную систему, включая информацию внешних и внутренних IP-адресах, операционной системе и нагрузке на центральный процессор. Более того, злоумышленники пытаются собрать информацию о запущенных процессах и украсть учетные данные, используя иструмент Mimikatz», — сообщают специалисты.

В отличие от предыдущих версий Smominru, новый вариант также удаляет следы заражения других киберпреступных группировок со скомпрометированных систем, а также блокирует TCP-порты (SMB, RPC), предотвращая проникновение конкурентов.



*Источник - https://www.securitylab.ru/news/501196.php
 
Войдите или зарегистрируйтесь для ответа.
Сверху Снизу