Smominru: Botnetz infiziert täglich 4.700 neue PCs

Das Botnetz verbreitet sich über den Exploit EternalBlue, der Ausbrüche wie WannaCry und NotPetya ermöglicht hat.

Aktiv seit dem Jahr hat sich Smominru laut einem öffentlich zugänglichen Bericht zu einer der am schnellsten verbreiteten Computer-Malware entwickelt. Allein im August 2019 infizierte sie mit einer Infektionsrate von bis zu 4.700 Computern pro Tag weltweit insgesamt 90.000 Rechner. Obwohl in China, Taiwan, Russland, Brasilien und den USA die meisten Angriffe verzeichnet werden konnten, bedeutet dies nicht, dass andere Länder nicht auch in den Geltungsbereich der Malware fallen. Das größte Netzwerk, auf das Smominru abzielte, befand sich beispielsweise in Italien, wo 65 Hosts infiziert wurden.

So verbreitet sich das Botnet Smominru

Obwohl sich die beteiligten Kriminellen ihrer Ziele, die von Universitäten bis hin zu Gesundheitsdienstleistern reichen, nicht allzu sicher sind, bleibt ein Detail bei allen Angriffen gleich: Etwa 85% der Infektionen treten auf Windows 7- und Windows Server 2008-Systemen auf. Die übrigen 25% betreffen Windows Server 2012, Windows XP und Windows Server 2003.

Dabei erlitt rund ein Viertel aller betroffenen Rechner nach einer scheinbar erfolgreichen Entfernung der Malware eine erneute Infektion. Mit anderen Worten: einige Opfer bereinigten zwar ihre Systeme, ignorierten jedoch die eigentliche Ursache, die zu der Infektion selbst geführt hatte.

Obwohl das Botnetz mehrere Methoden zur Verbreitung anwendet, infiziert es ein System vorrangig auf zwei Arten: entweder über einen Brute-Force-Angriff, mit dem das Botnetz Kurs auf schwache Anmeldeinformationen für verschiedene Windows-Dienste nimmt, oder häufiger, indem es den berüchtigten EternalBlue-Exploit ausnutzt.

Obwohl Microsoft die Schwachstelle, die EternalBlue ausnutzt und zu Ausbrüchen wie WannaCry und NotPetya geführt hat, bereits gepatcht hat, ignorieren viele Unternehmen bereitgestellte Aktualisierungen noch immer – besonders dann, wenn es sich um eingestellte „Ausläufermodelle“ handelt.

Das Smominru-Botnetz in Aktion

Nachdem Smominru das System kompromittiert hat, erstellt das Botnetz einen neuen Nutzer unter dem Namen „admin$“ und beginnt mit dem Download einer Reihe schädlicher Nutzlast. Das naheliegendste Ziel besteht darin, infizierte Computer auf Kosten des Opfers stillschweigend für das Mining von Kryptowährung (Monero) zu verwenden.

Das ist aber nicht alles: Zudem lädt die Malware eine Reihe von Modulen herunter, die zum Ausspähen, zur Datenexfiltration und zum Diebstahl von Anmeldeinformationen verwendet werden. Darüber hinaus versucht sich Smominru, sobald die Malware einmal Fuß gefasst hat, innerhalb des Netzwerks zu verbreiten, um auf diese Weise so viele Systeme wie möglich zu infizieren.

Was besonders interessant ist: Das Botnetz ist extrem ehrgeizig und wettbewerbsorientiert und räumt alle Konkurrenten aus dem Weg, die es auf dem infizierten Computer findet. Mit anderen Worten: Es werden nicht nur alle anderen auf dem Zielgerät ausgeführten schädlichen Aktivitäten deaktiviert und blockiert, sondern auch weitere Infektionen durch etwaige Rivalen verhindert.

Angriffsinfrastruktur

Das Botnetz stützt sich auf mehr als 20 dedizierte Server, die hauptsächlich in den USA angesiedelt sind, obwohl einige von ihnen auch in Malaysia und Bulgarien gehostet werden. Die Angriffsinfrastruktur von Smominru ist so weit verbreitet, komplex und hochflexibel, dass sie vermutlich nur schwer zu Fall gebracht werden kann.

So schützen Sie Netzwerke, Computer und Daten vor Smominru:

  • Aktualisieren Sie Betriebssysteme und andere Software regelmäßig.
  • Verwenden Sie starke Passwörter. Ein zuverlässiger Passwortmanager hilft Ihnen dabei, Passwörter zu erstellen, zu verwalten und automatisch abzurufen. Auf diese Weise können Sie sich vor Brute-Force-Angriffen schützen.
  • Installieren Sie eine zuverlässige Sicherheitslösung.
Tipps