Smominru, una botnet que infecta a 4.700 víctimas diarias

La botnet Smominru golpeó a más de 90.000 víctimas y 4.900 redes en todo el mundo en agosto pasado y continúa lanzando aproximadamente 4.700 infecciones por día, según un informe reciente de Guardicore Labs.

La compañía analizó un servidor de comando y control (C&C) que contenía credenciales y otros detalles sobre las víctimas involucradas en la campaña en curso. La botnet Smominru ha estado activa durante al menos dos años, utilizando el exploit EternalBlue y técnicas de fuerza bruta para propagar su infección, y es conocida por varios nombres, como Hexmen y MyKings.

Los investigadores dijeron que Smominru ha afectado principalmente a pequeños servidores que ejecutan versiones anteriores de los sistemas operativos de Microsoft. El 55 % de los servidores infectados ejecutaban Windows Server 2008, mientras que otro 30% ejecutaba Windows 7.

De media, al menos tres máquinas por red fueron infectadas por la botnet, mientras que el mayor incidente registrado incluyó un total de 65 hosts infectados. La investigación mostró que el 25% de los objetivos en el ataque fueron infectados más de una vez, lo que sugiere que los sistemas no fueron parcheados o que las víctimas no lograron cerrar posibles vectores de ataque.

Smominru no es conocido por atacar a organizaciones específicas, pero la investigación mostró algunos puntos calientes geográficos claros. Países como Taiwán, China y Rusia sufrieron altas tasas de infecciones, junto con Brasil y los Estados Unidos. Las organizaciones afectadas incluyeron a entidades educativas, sanitarias y de ciberseguridad.

Además de simplemente infectar máquinas con malware para extraer criptomonedas como Monero, los investigadores señalaron que la botnet también tiende a eliminar tareas programadas y terminar procesos para eliminar cualquier amenaza de seguridad competitiva.