Una massiccia botnet di criptovalute ha acquistato oltre mezzo milione di macchine e potrebbe aver reso milioni di dollari ai suoi controllori.
L’intera operazione è alimentata da EternalBlue, l’exploit della Nsa che ha reso l’epidemia del ransomware WannaCry così distruttiva.
La Smominru miner botnet trasforma le macchine infette in miner della criptovaluta Monero e si crede abbia regalato ai suoi proprietari circa 3.6 milioni di dollari da quando ha iniziato a operare nel maggio 2017.
L’interesse verso Monero
Anche se non è raro che i criminali informatici sfruttino il potere delle reti dirottate di computer per acquisire le monete virtuali, questa particolare rete è significativa a causa delle sue dimensioni. I ricercatori di Proofpoint dicono che la botnet era composta da 526.000 nodi al suo apice. Nonostante gli sforzi per abbatterla, la botnet è particolarmente resiliente e continua a rigenerarsi, e rimane quindi un potente strumento per i suoi operatori.
Tale è il potere dello Smominru che i cybercriminali hanno estratto 8.900 Monero che attualmente vale circa 248 dollari e dei quali ne vengono estratti 24 ogni giorno. Parte della potenza di Smominru risiede nei tipi di macchine di cui si occupa, con una gran parte dei nodi della rete costituita da server Windows.
Ciò che rende i server un obiettivo così attraente è infatti la loro potenza di elaborazione e, perché a differenza di un computer desktop, che viene regolarmente spento, i server sono sempre accesi, fornendo un flusso continuo e redditizio di Monero.
Nel frattempo, le organizzazioni potrebbero non essere consapevoli del fatto che i loro server sono diventati parte della rete bot, nonostante l’utilizzo fraudolento possa potenzialmente causare un calo delle prestazioni e un aumento dei costi dell’energia utilizzata dai server, che improvvisamente operano molto più vicino alla capacità.
I ricercatori osservano che almeno 25 degli ospiti infetti hanno assistito ad attacchi aggiuntivi tramite EternalBlue, utilizzando le sue funzioni worm-like per infettare nuovi nodi e aumentare le dimensioni della rete bot attaccando macchine vulnerabili con indirizzi Ip pubblici. Sono stati anche effettuati attacchi tramite EsteemAudit, un exploit che sfrutta le vulnerabilità di Rdp su Windows Server 2003 e Windows Xp.
La rete si rigenera
Nonostante gli sforzi sono stati fatti per spegnere la botnet, sono stati abbattuti circa un un terzo di Smominru con operazioni sinkhole e il divieto di indirizzi Ip – gli operatori sono stati in grado di recuperare. E’ l’ uso di EternalBlue che aiuta gli aggressori a rigenerare la loro rete così rapidamente, e potrebbe potenzialmente permettergli di crescere per incorporare una rete di dispositivi più grande rispetto al suo attuale mezzo milione. Il maggior numero di sistemi infetti si trova in Russia, India e Taiwan.
È improbabile che gli aggressori abbiano preso di mira questi paesi in modo specifico, ma piuttosto rappresentano semplicemente aree del globo in cui la patch dei sistemi contro lo sfruttamento EternalBlue è stata meno attenta.
Questa operazione conferma l’attenzione dei criminali informatici verso il miner di valute virtuali come mezzo per fare facilmente soldi. E se Bitcoin è sempre la più popolare in molti guardano verso le alternative come Monero per motivi che vanno da una maggiore privacy alla capacità di essere in grado di incassare più rapidamente.
