Chỉ trong vòng 1 tháng, Smominru Botnet đã tấn công vào hơn 90,000 máy tính trên toàn thế giới

Smominru, một botnet khét tiếng với chức năng khai thác tiền ảo và đánh cắp thông tin xác thực, đã trở thành một trong những mã độc máy tính lây lan nhanh nhất hiện nay, với hơn 90.000 máy mỗi tháng trên toàn thế giới.

Chỉ trong vòng 1 tháng, Smominru Botnet đã tấn công vào hơn 90,000 máy tính trên toàn thế giới - CyberSec365.org

Theo báo cáo từ các nhà nghiên cứu tại hãng bảo mật Guardicore Labs, chỉ trong tháng 8/2019, có hơn 4.900 hệ thống mạng bị nhiễm mã độc Smominru. Trong đó, có hơn 90.000 thiết bị máy tính bị lây nhiễm. 

Các hệ thống mạng bị nhiễm mã độc này nằm trong nhiều lĩnh vực khác nhau bao gồm các tổ chức giáo dục đại học, các công ty y tế và thậm chí các công ty an ninh mạng có trụ sở tại Mỹ, với mạng lưới lớn nhất thuộc về một nhà cung cấp dịch vụ chăm sóc sức khỏe ở Ý với tổng số 65 máy chủ bị nhiễm bệnh

Hoạt động từ năm 2017, botnet Smominru lây nhiễm vào các máy Windows chủ yếu thông qua bộ công cụ khai thác EternalBlue, một công cụ khai thác được tạo ra bởi Cơ quan An ninh Quốc gia Mỹ (NSA) nhưng sau đó đã bị rò rỉ ra ngoài bởi nhóm tin tặc Shadow Brokers và trở thành bộ công cụ nổi tiếng nhất được sử dụng bởi cuộc tấn công của mã độc mã hóa tống tiền (ransomware) WannaCry vào năm 2016

Chỉ trong vòng 1 tháng, Smominru Botnet đã tấn công vào hơn 90,000 máy tính trên toàn thế giới - CyberSec365.org

Sau khi có được quyền truy cập vào các hệ thống được nhắm mục tiêu, mã độc Smominru sẽ tiến hành cài đặt mô-đun Trojan và công cụ khai thác tiền ảo để khai thác sức mạnh CPU của PC của nạn nhân để khai thác đồng tiền ảo Monero và gửi nó đến ví do tin tặc sở hữu.

Một tháng trước, người ta cũng tiết lộ rằng các nhà khai thác đằng sau botnet đã nâng cấp Smominru để thêm mô-đun thu thập dữ liệu và Trojan truy cập từ xa (RAT) vào mã khai thác tiền điện tử của botnet.

Biến thể mới nhất của Smominru tải xuống và chạy ít nhất 20 tập lệnh độc hại và tải trọng nhị phân riêng biệt, bao gồm trình tải xuống worm, Trojan horse và rootkit MBR.

Các nhà nghiên cứu cho biết: "tin tặc có thể tạo ra nhiều backdoor trên thiết bị của nạn nhân theo mỗi giai đoạn khác nhau. Các backdoor này có thể nằm trong các dịch vụ hoặc thậm chí là các đối tượng và dịch vụ WMI được thiết lập để khởi chạy cùng hệ thống."

Theo báo cáo của Guardicore Labs, các nhà nghiên cứu đã tìm cách truy cập vào một trong những máy chủ C&C của tin tặc, nơi lưu trữ các thông tin của bị đánh cắp và phát hiện tin tặc lưu lại toàn bộ logs của từng thiết bị bị nhiễm bao gồm địa chỉ IP Public và IP Local, hệ điều hành và tốc độ CPU của hệ thống. Bên cạnh đó, tin tặc cũng thu thập các tiến trình đang chạy trong hệ thống và đánh cắp các thông tin đăng nhập bằng công cụ Mimikatz.

Được biết, phần lớn các thiết bị bị lây nhiễm đều đang sử dụng Windows 7 và Windows Server 2008, với tốc độ 4.700 máy mỗi ngày và hàng ngàn ca lây nhiễm được phát hiện ở các quốc gia bao gồm Trung Quốc, Đài Loan, Nga, Brazil và Mỹ.

Phần lớn các máy bị nhiễm được phát hiện chủ yếu là các máy chủ nhỏ, với 1-4 core CPU, khiến các thiết bị này khó khăn trong quá trình vận hành vì các tiến trình khai thác tiền ảo đã chiếm gần hết CPU.

Chỉ trong vòng 1 tháng, Smominru Botnet đã tấn công vào hơn 90,000 máy tính trên toàn thế giới - CyberSec365.org

Theo phân tích của Guardicore Labs, có khoảng 25% các nạn nhân đã "cố gắng làm sạch hệ thống của họ bằng các phần mềm quét mã độc mà không khắc phục các bản vá bảo mật, do đó các hệ thống dễ dàng bị tái nhiễm."

Không giống như các phiên bản trước, phiên bản mới nhất của mã độc Smominru sẽ tiến hành "bảo vệ" hệ thống trước các cuộc tấn công khác. Thật vậy, nếu phát hiện có các cuộc tấn công khác nhằm vào các thiết bị đã bị lây nhiễm, mã độc Smominru sẽ tiến hành chặn các port TCP (SMB,RDP) để ngăn chặn các cuộc tấn công đó. 

Các nhà nghiên cứu của Guardicore cũng đã đưa ra một danh sách đầy đủ các IoC (chỉ số thỏa hiệp) và tập lệnh Powershell miễn phí trên GitHub mà bạn có thể chạy từ giao diện dòng lệnh Windows của mình để kiểm tra xem hệ thống của bạn có bị mã độc Smominru hay không.

Hiện tại, các quản trị viên được khuyến cáo nên thường xuyên cập nhật các bản vá bảo mật cho các thiết bị Windows của mình. Bên cạnh đó, cần tuân thủ các yêu cầu về mật khẩu phức tạp và giảm thiểu số lượng máy chủ có thể truy cập trực tiếp ra Internet để tránh trở thành nạn nhân của các mối đe dọa

Đại Phát (Theo The Hacker News)