¿Qué es la botnet Smominru y qué hacer ante un ataque de este malware?

Smominru: a pesar de que su origen se remonta al año 2017, es una peligrosa botnet que recientemente ha aparecido en muchos titulares debido a su rápida expansión y crecientes ataques a organizaciones de diversas industrias. Smominru, que también opera bajo variantes conocidas como Hexmen y Mykings, se ha infiltrado en cientos de miles de máquinas, focalizándose en su mayoría en servidores Windows. Smominru no solo es resistente, sino que también presenta una amenaza doble muy traicionera, capaz de robar datos y hacer minado de criptomonedas.

¿Cómo opera la botnet Smominru?

Smominru tiene varios métodos de infiltración. Comúnmente utiliza el exploit EternalBlue (que también se usa en los ataques WannaCry y NotPetya), que se aprovecha de una vulnerabilidad en el protocolo SMB de Microsoft. A pesar de que esta vulnerabilidad tiene disponible un parche, aún se encuentra en muchas redes. Con frecuencia también usa otros métodos para tener acceso, como relleno de credenciales (credential stuffing). Smominru mantiene su presencia a través de diferentes métodos, implementando múltiples payloads y backdoors.

Una vez que Smominru ha ganado acceso, toma control del sistema y utiliza sus recursos para minar la criptomoneda Monero. Los propietarios de la botnet Smominru han logrado generar millones de dólares, debido al tamaño de la botnet y a los tipos de máquinas que están infectadas. Smominru está compuesto por más de 500.000 nodos infectados (algunas estimaciones sitúan a este número en cerca de un millón) y apunta a servidores, que no solo tienen mucha más potencia de procesamiento, sino que también nunca se apagan, lo que le permite generar criptomonedas durante todo el día y toda la noche.

Smominru no solo utiliza los recursos del dispositivo para minar. En su actualización más reciente ha comenzado a robar información mediante un troyano de acceso remoto. Por lo general, realiza una recolección masiva de credenciales, y luego las utiliza para crear backdoors o para propagar aún más el malware haciendo password spraying en todo el dominio.

¿Qué hacer después de un ataque de la botnet Smominru?

Una vez que se descubre una infección Smominru es relativamente simple eliminarla. Un escáner de malware básico incluso puede funcionar para estaciones de trabajo individuales. Si se han atacado múltiples sistemas en toda la red de una organización, al equipo de Seguridad puede llevarle un tiempo considerable eliminarlo. En el último tiempo, Smominru suele ser el único malware encontrado durante el proceso de limpieza, ya que las últimas versiones eliminan otros malware presentes en el sistema con el fin de eliminar la competencia de otros atacantes.

Sin embargo, los informes muestran que una de cada cuatro víctimas sufrió reinfección. Esto indica que las organizaciones no se toman el tiempo necesario para resolver los problemas reales, aquellos que permitieron que la infección sucediera en primer lugar. Hasta que no se realicen esfuerzos para remediar las brechas en la postura de Seguridad general de una organización, las mismas estarán en riesgo permanente.

Malvare Smominru: cómo prevenir un ataque

Dado que el enfoque principal de Smominru todavía está en el criptojacking, como primera línea de defensa las organizaciones deben tener una protección antivirus sólida. Sin embargo, esta no debe centrarse únicamente en estaciones de trabajo. La protección a nivel de servidor es crítica, ya que los servidores son objetivos primordiales para los criptomineros que buscan grandes fuentes de procesamiento.

Core Security ha estado rastreando la botnet Smominru, así como a los actores de amenazas que la usan para implementar su malware. Core Network Insight utiliza la inteligencia de amenazas recopilada por Core Labs y nuestra red global de sensores para identificar Smominru y otras infecciones dentro de las redes de nuestros clientes, en función de los perfiles de comportamiento de red típicos observados con normalidad. A pesar de que hay un parche disponible para EternalBlue, no todas las máquinas están parcheadas.

Network Insight es un sistema automático de defensa contra violaciones de Seguridad que detecta infecciones exitosas con certeza, finaliza su actividad y ofrece las herramientas necesarias para prevenir una pérdida de datos de inmediato. Es capaz de detectar Smominru (así como infecciones de malware asociadas) en máquinas que no son capaces de usar el parche, como dispositivos SCADA, terminales de punto de venta o cajeros automáticos, dispositivos IoT, máquinas de diagnóstico por imágenes y dispositivos médicos móviles.

Si bien Network Insight también puede detectar Smominru en dispositivos que pueden, pero aún no han implementado el parche para EternalBlue, estos dispositivos deben ser parcheados lo antes posible, y las actualizaciones regulares deben volverse rutinarias para mitigar las vulnerabilidades. Sin embargo, la mejor manera de garantizar que su organización no se expone a otras brechas de Seguridad es realizando tests de penetración (Pen Testing) de forma regular.

Core Impact, nuestro software de Pen Testing, permite a los usuarios efectuar diversas tácticas y métodos de ciberataque que emulan Indicadores de Compromiso (IOC) vistos con la botnet Smominru, sniffing, extracción de credenciales, persistencia, modificación y eliminación de archivos, powershell y exfiltración por canales de comando y control (HTTP, HTTPS, DNS). Core Security agregó el ataque de EternalBlue a su batería de exploits de Core Impact semanas después de conocerse la vulnerabilidad inicial en 2017. Desde entonces, Core Security ha agregado módulos adicionales para mejorar la efectividad del ataque.

El test de penetración y las soluciones como Core Impact también pueden descubrir otras debilidades en el entorno de una organización, como contraseñas débiles, que dejan a las organizaciones en riesgo de ataques de fuerza bruta. Los tests de penetración regulares pueden llegar a la raíz de la causa de ataques como Smominru. Y los esfuerzos de remediación, como parches, fortalecimiento de contraseñas, o cambios en los procesos, evitan la reinfección o, incluso, evitan que las infecciones hayan llegado a darse en primer lugar.

 

Conozca más sobre Pen Testing

Vea Core Impact en acción con una demostración personalizada con uno de nuestros expertos.