Maciço Botnet de Mineração de Criptomoedas Smominru Dissecado e Usado no Lugar de um Ransomware
Recentemente, especialistas em segurança da equipe Talos da Cisco escreveram sobre as tendências no mundo cibercriminoso. Eles observaram que mais e mais adversários estão se afastando do ransomware e agora estão migrando para os mineradores de criptomoedas maliciosos. Existem algumas boas razões para isso.
Antes de tudo, o ransomware tem sido uma ameaça tão prolífica nos últimos anos que as empresas de segurança investiram grandes quantidades de tempo e esforço na tentativa de combatê-lo. Os produtos AV agora são muito melhores na detecção de até mesmo novas amostras de ransomware, e os usuários também são muito mais instruídos. Algumas das vítimas têm backups no local, o que significa que eles realmente não precisam cooperar com os bandidos. Outros não têm outra escolha senão pagar o resgate e recuperar seus arquivos, mas esse processo em si pode ser demorado e desafiador para os menos entendidos em tecnologia. E, é claro, existem pessoas dispostas a pagar o resgate que simplesmente não podem pagar.
Com os mineradores de criptomoeda, as coisas são um pouco diferentes. Eles não mexem com os arquivos na máquina infectada e operam silenciosamente. O usuário pode nem perceber o mineiro. Ao mesmo tempo, o valor das criptomoedas explodiu literalmente nos últimos anos e, embora algumas delas, como o Bitcoin, sejam impossíveis de minerar sem hardware especializado, outras, como o Monero, podem ser geradas por servidores regulares e PCs domésticos. Se você controla muitos servidores e PCs, ganha muito dinheiro.
Os operadores de um botnet de mineração de Monero chamada Smominru controlam muitas máquinas Windows. Há alguns meses, Kaffeine, um especialista em segurança que trabalha para a Proofpoint, escreveu o que ele e sua equipe aprenderam após monitorar o botnet nos últimos nove meses.
Eles começaram a rastrear em maio de 2017, na época do ataque do ransomware WannaCry. Estamos mencionando o WannaCry, porque, como o maior surto de ransomware do ano passado, a rede de bots Smominru foi possibilitada por algo chamado EternalBlue. EternalBlue é uma exploração que se acredita ter sido desenvolvida pela NSA. Um grupo de hackers que se autodenominavam Shadow Brokers o vazou no ano passado e, embora a Microsoft tenha emitido um patch prontamente, muitas máquinas Windows permaneceram vulneráveis a ele.
Quando dizemos "muitos", queremos dizer isso. Todos sabemos o tamanho do WannaCry. Logo após a contenção do ransomware, a Proofpoint encontrou outro botnet de mineração Monero espalhado pelo EternalBlue. Chamava-se Adylkuzz e disseram que afetou mais pontos de extremidade do que o WannaCry. Agora, eles estão dizendo que Smominru pode ser duas vezes maior que o Adylkuzz.
Para descobrir exatamente o tamanho, a Proofpoint se uniu ao Abuse.ch e ao ShadowServer, que os ajudaram a realizar uma operação de sumidouro. No total, eles detectaram mais de 526 mil hosts Windows, a maioria dos quais se acredita serem servidores. Olhando para as estatísticas, eles perceberam que os bandidos haviam feito cerca de 8.900 Monero (cerca de US $2,4 milhões no momento da redação), e os bots que eles controlavam estavam gerando cerca de 24 Monero (cerca de US $6 mil na taxa atual) diariamente. .
Os pesquisadores entraram em contato com o pool de mineração MineXMR e o endereço associado ao Smominru foi fechado. Isso, juntamente com a operação do sumidouro, atingiu a botnet com força, mas os bandidos se adaptaram e logo voltaram com cerca de dois terços do poder de hash exibido durante seus meses mais fortes.
Os especialistas não disseram quão forte é Smominru no momento, mas é improvável que seus operadores parem de fazer o que estão fazendo, desde que o preço do Monero seja alto. E por US $245 por 1 Monero, não é exatamente baixo, especialmente quando as moedas são geradas pelo hardware de outras pessoas. A boa notícia para administradores de sistemas que executam servidores Windows e usuários regulares é que os patches para o EternalBlue estão disponíveis há meses. Se você ainda não os aplicou, deve começar a fazer isso agora.