{"id":20327,"date":"2019-10-08T10:32:02","date_gmt":"2019-10-08T08:32:02","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20327"},"modified":"2019-11-22T11:59:11","modified_gmt":"2019-11-22T09:59:11","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/smominru-botnet-eternalblue\/20327\/","title":{"rendered":"Smominru: Botnetz infiziert t\u00e4glich 4.700 neue PCs"},"content":{"rendered":"

Aktiv seit dem Jahr hat sich Smominru laut einem \u00f6ffentlich zug\u00e4nglichen Bericht<\/a> zu einer der am schnellsten verbreiteten Computer-Malware entwickelt. Allein im August 2019 infizierte sie mit einer Infektionsrate von bis zu 4.700 Computern pro Tag weltweit insgesamt 90.000 Rechner. Obwohl in China, Taiwan, Russland, Brasilien und den USA die meisten Angriffe verzeichnet werden konnten, bedeutet dies nicht, dass andere L\u00e4nder nicht auch in den Geltungsbereich der Malware fallen. Das gr\u00f6\u00dfte Netzwerk, auf das Smominru abzielte, befand sich beispielsweise in Italien, wo 65 Hosts infiziert wurden.<\/p>\n

So verbreitet sich das Botnet Smominru<\/h2>\n

Obwohl sich die beteiligten Kriminellen ihrer Ziele, die von Universit\u00e4ten bis hin zu Gesundheitsdienstleistern reichen, nicht allzu sicher sind, bleibt ein Detail bei allen Angriffen gleich: Etwa 85% der Infektionen treten auf Windows 7- und Windows Server 2008-Systemen auf. Die \u00fcbrigen 25% betreffen Windows Server 2012, Windows XP und Windows Server 2003.<\/p>\n

Dabei erlitt rund ein Viertel aller betroffenen Rechner nach einer scheinbar erfolgreichen Entfernung der Malware eine erneute Infektion. Mit anderen Worten: einige Opfer bereinigten zwar ihre Systeme, ignorierten jedoch die eigentliche Ursache, die zu der Infektion selbst gef\u00fchrt hatte.<\/p>\n

Obwohl das Botnetz mehrere Methoden zur Verbreitung anwendet, infiziert es ein System vorrangig auf zwei Arten: entweder \u00fcber einen Brute-Force-Angriff, mit dem das Botnetz Kurs auf schwache Anmeldeinformationen f\u00fcr verschiedene Windows-Dienste nimmt, oder h\u00e4ufiger, indem es den ber\u00fcchtigten EternalBlue-Exploit<\/a> ausnutzt.<\/p>\n

Obwohl Microsoft die Schwachstelle, die EternalBlue ausnutzt und zu Ausbr\u00fcchen wie WannaCry<\/a> und NotPetya<\/a> gef\u00fchrt hat, bereits gepatcht hat, ignorieren viele Unternehmen bereitgestellte Aktualisierungen noch immer \u2013 besonders dann, wenn es sich um eingestellte \u201eAusl\u00e4ufermodelle\u201c handelt.<\/p>\n

Das Smominru-Botnetz in Aktion<\/h3>\n

Nachdem Smominru das System kompromittiert hat, erstellt das Botnetz einen neuen Nutzer unter dem Namen \u201eadmin$\u201c und beginnt mit dem Download einer Reihe sch\u00e4dlicher Nutzlast. Das naheliegendste Ziel besteht darin, infizierte Computer auf Kosten des Opfers stillschweigend f\u00fcr das Mining von Kryptow\u00e4hrung (Monero) zu verwenden.<\/p>\n

Das ist aber nicht alles: Zudem l\u00e4dt die Malware eine Reihe von Modulen herunter, die zum Aussp\u00e4hen, zur Datenexfiltration und zum Diebstahl von Anmeldeinformationen verwendet werden. Dar\u00fcber hinaus versucht sich Smominru, sobald die Malware einmal Fu\u00df gefasst hat, innerhalb des Netzwerks zu verbreiten, um auf diese Weise so viele Systeme wie m\u00f6glich zu infizieren.<\/p>\n

Was besonders interessant ist: Das Botnetz ist extrem ehrgeizig und wettbewerbsorientiert und r\u00e4umt alle Konkurrenten aus dem Weg, die es auf dem infizierten Computer findet. Mit anderen Worten: Es werden nicht nur alle anderen auf dem Zielger\u00e4t ausgef\u00fchrten sch\u00e4dlichen Aktivit\u00e4ten deaktiviert und blockiert, sondern auch weitere Infektionen durch etwaige Rivalen verhindert.<\/p>\n

Angriffsinfrastruktur<\/h3>\n

Das Botnetz st\u00fctzt sich auf mehr als 20 dedizierte Server, die haupts\u00e4chlich in den USA angesiedelt sind, obwohl einige von ihnen auch in Malaysia und Bulgarien gehostet werden. Die Angriffsinfrastruktur von Smominru ist so weit verbreitet, komplex und hochflexibel, dass sie vermutlich nur schwer zu Fall gebracht werden kann.<\/p>\n

So sch\u00fctzen Sie Netzwerke, Computer und Daten vor Smominru:<\/p>\n