«Guardicore: Cyberkriminalität verbreitet das Smominru-Botnetz weiter. Allein im August wurden über 90.000 Computer infiziert. Betroffen war auch ein Gesundheitsdienstleister in Italien. Malware zielt auf Windows-Systeme ab; verwendet einen EternalBlue-Exploit und Brute-Force-Angriffe
Mit Smominru kehrt die Cyberkriminalität zurück, um auf der ganzen Welt zuzuschlagen. Laut den Cybersicherheitsexperten von Guardicore infizierte das Botnet allein im August weltweit über 90.000 Computer. Auch in Italien, wo ein Gesundheitsdienstleister getroffen wurde. Die seit 2017 mit einigen Varianten (Hexmen und Mykings) aktive Malware zielt auf Microsoft Windows-Systeme für Cryptomining ab. Insbesondere Windows 7 und Server 2008, die einen EternalBlue-Exploit verwenden. Darüber hinaus kann es Brute-Force-Cyberangriffe auf verschiedene Dienste und Protokolle wie MS-SQL, RDP und Telnet ausführen. Die Forscher fanden jedoch auch heraus, dass viele Computer selbst nach dem Entfernen von Smominru erneut infiziert wurden, und entwickelten und veröffentlichten ein Powershell-Skript, um mit dem Wurm infizierte Computer zu erkennen. Dies soll der infosec-Community und den Benutzern selbst helfen, die Bedrohung so schnell wie möglich zu erkennen.
Cyber-Sicherheitsexperten: So funktioniert die Malware-Infektionskette
Laut Cyber-Sicherheitsexperten wird während der Smominru-Infektion ein PowerShell-Skript (blueps.txt) auf den Zielcomputer heruntergeladen. Dies geschieht durch drei Dinge. Das Botnet lädt zunächst drei Binärdateien herunter und führt sie aus: einen Wurm-Downloader (u.exe / ups.exe), einen Trojaner (upsupx.exe) und ein MBR-Rootkit (max.exe / ok.exe). Die Datei u.exe bereitet die Bühne für den Wurm, indem sie DLLs herunterlädt, die für die Durchführung von Netzwerkscans erforderlich sind. Anschließend stellt er eine Verbindung zu einem Angriffsserver her, sucht nach der neuesten Version des Wurms und lädt ihn herunter. Die Datei "upsupx.exe" wird verwendet, um eine Variante des Open-Source-Trojaners "PcShare" freizugeben. Dieses Paket enthält viele Funktionen, einschließlich Download und Ausführung, Befehl und Kontrolle, Bildschirmaufnahme und Informationsdiebstahl. Darüber hinaus erstellt es einen neuen Admin-Benutzer namens admin$ auf dem System und lädt zusätzliche Skripte herunter, damit Cyberkriminalität böswillige Aktionen ausführen kann.
Die CERT-PA: Die Verbreitung von Smominru wird sowohl durch die Verwendung schwacher Passwörter als auch durch die Existenz von Computern erleichtert, die für EternalBlue anfällig sind. Es ist wichtig, Betriebssysteme mit Software-Updates abzustimmen
Wie die Cybersicherheitsspezialisten von CERT-PA wissen, wird die Verbreitung von Smominru sowohl durch die Verwendung schwacher Passwörter als auch durch die Existenz von Maschinen erleichtert, die für EternalBlue anfällig sind. Computer, die immer noch von der Sicherheitsanfälligkeit betroffen sind, ermöglichen es der Kampagne, sich weiter über das Internet zu verbreiten und die Malware in Systemen zu installieren. Daher ist es zwingend erforderlich, Betriebssysteme mit aktuell verfügbaren Software-Updates abzugleichen. Das Patchen ist jedoch unter bestimmten Bedingungen möglicherweise nicht einfach; Daher ist es wichtig, zusätzliche Sicherheitsmaßnahmen sowohl im Rechenzentrum als auch in der Organisation zu berücksichtigen. In diesem Sinne sind Elemente, die übernommen oder bewertet werden müssen, um ein solides Sicherheitsniveau gegen Bedrohungen wie Smominru aufrechtzuerhalten, die Segmentierung des Netzwerks; die Verwendung von Erkennungssystemen in Echtzeit von Bedrohungen aus dem Internetverkehr und die Einschränkung von Servern und Diensten, die dem Internet ausgesetzt sind."
#digife #website #website #ecommerce #ecommerce #webdesign #seo #digitalmarketing #graphicdesign #business #websitedesign #webdevelopment #webdesigner #branding #webdeveloper #socialmediamarketing #entrepreneur #startup #digital #malware #hacker #hacking #security #virus #cybercrime #antivirus #cyberattack #spyware #Smominru
Quelle http://bit.ly/2lhQpcB
