Masivní botnet Smominru dělá z PC těžební zombie
5.2.2018, Jan Vítek, aktualita
S těžbou kryptoměn se běžně setkávají i uživatelé, kteří s ní jinak sami nic nemají a mít nechtějí. Jejich počítače ale mohou být zneužity pomocí skriptů ve webových reklamách a nebo v horším případě i napadnuty a změněny v jakési těžební zombie.
Stejně jako v případě těžby pomocí procesorů Threadripper jde i zde o měnu Monero, což má svou logiku. Monero se totiž ve srovnání s jinými kryptoměnami těží docela snadno, ovšem v poslední době jeho hodnota klesá, ale to se týká i jiných populárních měn včetně Bitcoinu či Etherea.
Není žádné překvapení, že se dnes objevuje malware, jehož průvodním jevem je těžba kryptoměn, a to samozřejmě ne na náš účet, ale na účet útočníka. Dalo by se možná říci, že takový malware by mohl v tomto roce v očích veřejnosti nahradit ransomware, a to i proto, že v jeho případě v podstatě závisí čistě jen na tom, jak moc se dokáže rozšířit. Čím více, tím větší výdělek útočníci získají, a to automaticky, zatímco v případě ransomwaru museli spoléhat na to, že jim někdo požadované výkupné sám pošle. Pro počítačové zločince tak může být těžební malware větší a jistější výdělek, zvláště když se proti ransomware rozhořel tak velký odpor pod vedením Microsoftu a obecně se doporučuje jediné: data zálohovat a výkupné neplatit.
A už tu máme jeden z příkladů, jak to může probíhat, a sice pomocí botnetů, čili malwarem vytvořené sítě otrockých počítačů, které plní zadaný úkol. Tím mohly být dříve třeba DDoS útoky, ale ty peníze nevydělávají, zatímco botnet Smominru využívající exploit EternalBlue ano.
Dle bezspolečnosti Proofpoint sledující tento botnet byl výkon počítačů v botnetu Smominru takový, že už dokázal vytěžit pro své tvůrce cca 8900 Monera. To aktuálně i při značně pokleslé hodnotě činí 1.850.000 dolarů, čili asi 37,5 milionů korun. Každý den dokázal botnet vydělat asi 24 "mincí" Monera, takže je jasné, že nejde o nic nového.
Proofpoint dále uvádí, že útoky využívající EternalBlue pramení alespoň z 25 počítačů, které se schovávají za síťový autonomní systém AAS63199 a řídicí infrastruktura má být hostována v rámci firmy SharkTech, která se paradoxně sama zabývá bezpečností a především DDoS útoky. Tu už Proofpoint kontaktoval, ale odpověď zatím nedostal.
Aktuálně má botnet Smominru v moci přes 526 tisíc počítačů s Windows, a to především v Rusku, Indii, na Tchajwanu a Ukrajině. Kontaktována byla také MineXMR s požadavkem, aby adresy Monera spojené se Smominru byly zakázány, což bylo provedeno, ovšem ihned poté si operátoři botnetu začali zakládat nové adresy. Vypadá to, že ale v tomto procesu ztratili kontrolu nad asi třetinou své sítě.
Zdroj: HotHardware
