ITanalyze

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ بر طبق گزارشاتی که برای عموم در دسترس است، Smominru که از سال 2017 فعال بوده اکنون به بدافزار کامپیوتری‌ای تبدیل شده است که دارد بیشترین روند شیوع را طی می‌کند. در سال 2019، فقط در ماه آگست- این بدافزار 90 هزار دستگاه را در سراسر جهان آلوده کرد. نرخ این آلودگی به ازای هر روز، تا سقف 4700 کامپیوتر گزارش شده است. چین، تایوان، روسیه، برزیل و آمریکا بیشتری میزان حملات بهشان وارد شده است؛ اما این بدان معنا نیست که سایر کشورها از خطر این بدافزار پلید در امانند. برای مثال، بزرگ‌ترین شبکه‌ی اینترنتی که  Smominru مورد هدف قرار داد در ایتالیا بود که 65 میزبان آلوده شد.

چطور بات‌نت Smominru رشد می‌کند؟
مجرمان دخیل در این حمله خیلی روی هدف‌هایشان وسواسی نیستند، می‌شود گفت طیف حملاتشان از دانشگاه‌ها گرفته تا مراکز مراقبت‌های بهداشتی را در برمی‌گیرد. با این حال، بین همه‌شان یک چیز ثابت است: حدود 85 درصد این آلودگی‌ها روی ویندوز 7 و سیستم‌های ویندوز سرور 2008 صورت می‌گیرد. بقیه سیستم‌ها نیز شامل ویندوز سرور 2012، ویندوز اکس‌پی و ویندوز سرور 2003 می‌شود.
تقریباً یک‌چهارم دستگاه‌های آلوده باری دیگر بعد از اینکه Smominru از آن‌ها جدا شد نیز باز آلوده شدند. به عبارت دیگر، برخی قربانیان سیستم‌های خود را پاک کردند اما یادشان رفت علت ریشه‌ای را از بین ببرند. اینجا سوالی که پیش می‌آید این است: علت ریشه‌ای چیست؟ بسیارخوب، این بات‌نت از چندین روش برای سرایت کردن و منشعب شدن استفاده می‌کند اما در درجه‌ی اول سیستم را به یکی از این دو روش آلوده می‌کند: یا با حمله جستجوی فراگیر[1] اطلاعات محرمانه‌ی ضعیف (روی خدمات ویندوز مختلف) یا با تکیه بر اکسپلویت بدنامِ EternalBlue (متود دوم بیشتر استفاده می‌شود). گرچه مایکروسافت برای آسیب‌پذیری‌ای که EternalBlue اکسپلویت کرد، پچی ارائه داد (همین باعث شیوع WannaCry و NotPetya در سال 2017 شد که حتی سیستم‌های رهاشده[2] را نیز درگیر کرد) اما بسیاری از شرکت‌ها خیلی راحت آپدیت‌ها را نادیده می‌گیرند.

بات‌نت Smominru در عمل
Smominru بعد از دستکاری سیستم، یوزرِ جدیدی به نام admin$ می‌سازد که تمام مزایای ادمین را روی سیستم داشته و شروع می‌کند به دانلود همه‌ی پی‌لودهای آلوده. واضح‌ترین هدف این است که به آرامی از کامپیوترهای آلوده‌شده برای ماین کردن رمزارز (که نامش Monero است) استفاده کند؛ در این میان تنها کسی که سخت متضرر خواهد شد، خود قربانیست.
با این حال، ماجرا به همینجا ختم نمی‌شود: این بدافزار همچنین مجموعه‌ای از ماژول‌های بکار رفته برای جاسوسی، استخراج داده‌ها و سرقت اطلاعات محرمانه را دانلود می‌کند. مهمتر اینکه، وقتی Smominru جا پای خودش را محکم کرد، سعی می‌کند داخل شبکه تا حد امکان منشعب شود تا بدین‌ترتیب هر قدر که توان دارد سیستم‌ها را آلوده کند.
جالب است بدانید که این بات‌نت به شدت تکرو است و از رقیب خوشش نمی‌آید؛ در واقع هر حریفی که روی کامپیوتر آلوده‌شده پیدا کند درجا خواهد کشت. به بیانی دیگر، نه تنها هر فعالیت مخربی را روی دستگاه مورد هدف غیرفعال و قطع می‌کند که همچنین جلوی پیشروی آلودگیِ رقبا را نیز می‌گیرد.  
زیرساخت حمله
این بات‌نت به بیش از 20 سرور اختصاصی وابسته است که بیشتر مقرشان در آمریکاست؛ هرچند برخی از آن‌ها از مالزی یا بلغارستان میزبانی می‌شوند. زیرساخت حمله‌ی Smominru توزیع گسترده‌ای دارد، پیچیده است و به شدت انعطاف‌پذیر تا جایی که شاید نتوان به آسانی آن را شکست داد؛ بنابراین به نظر می‌رسد این بات‌نت تا مدت‌ها بتواند فعال باشد.
اما چطور باید از شر آن در امان ماند؟
•    سیستم‌عامل‌ها و سایر نرم‌افزارها را مرتباً آپدیت کنید.
•    از رمزعبورهای قوی استفاده کنید. یک بسته‌ی مدیریت کلمه‌ی عبورِ مطمئن به شما کمک می‌کند بتوانید رمزعبور بسازید، آن را مدیریت کنید، به طور خودکار بازیابی‌اش کرده و آن‌ را وارد نمایید. اینگونه تضمین می‌دهیم دیگر هیچ حمله‌ی جستجوی فراگیری نمی‌تواند به شما آسیبی برساند.
•    از راه‌حل امنیتی مطمئن استفاده کنید.
 
[1] brute-force attack
[2] discontinued systems
 
منبع: کسپرسکی آنلاین