Ботнет Smominru наращивает обороты

Исследователи компании Guardicore Labs сообщают о возросшей активности ботнета Smominru. По оценкам экспертов в прошлом году число инфицированных устройств, входящих в эту ботсеть, составляло около полумиллиона, а управление ими принесло операторам не менее 2,3 миллиона долларов. Результаты нынешнего года могут оказаться более впечатляющими: только на протяжении августа Smominru «рекрутировал» в свои ряды 90 тысяч устройств.

Обращает на себя внимание любопытная особенность Smominru. Инфицируя компьютеры, зловред удаляет любое другое вредоносное ПО, а также блокирует все связанные с ним процессы и порты, потенциально позволяющие новые заражения. Делается это, разумеется, не из заботы о пользователе, а для получения полного и единоличного контроля над системными ресурсами. Все эти ресурсы Smominru направляет на майнинг криптовалюты Monero, поступающей в кошельки операторов ботнета. Предполагается, что именно рост курсовой стоимости Monero в последнее время послужил импульсом к активизации их деятельности. Кроме того, зловред может использоваться для похищения данных и установки дополнительного вредоносного ПО.

Зловред проникает на устройства главным образом за счет эксплуатации уязвимости EternalBlue. До 85% всех случаев инфицирования приходятся на системы Windows 7 и Windows Server 2008: варианты эксплойтов для EternalBlue на этих ОС существуют в открытом доступе в сети. Специалисты Guardicore Labs отмечают, что не менее 25% всех случаев заражения Smominru являются повторными. Это означает, что, даже обнаружив и удалив вредоносное ПО, администраторы не принимают необходимых мер, чтобы обезопасить системы от повторного инфицирования.

Источник: Bleeping Computer