Sicherheitsforscher haben ein Monero-Miner-Botnet entdeckt, welches wohl schon 500.000 Windows-Systeme befallen und dort einen Krypto-Miner installiert hat.
Anzeige
Die Meldung kommt von verschiedenen Quellen aus dem Kreis von Sicherheitsforschern. Die Sicherheitsspezialisten von Proofpoint haben das globale Botnetz Smominru (a.k.a Ismo) getauft und hier beschrieben. Die Forscher beobachten den Monero-Miner seit Ende Mai 2017. Der Miner breitet sich über den EternalBlue Exploit (CVE-2017-0144) auf Windows-Maschinen aus und ist als Smominru (alias Ismo) bekannt. Allerdings ist die Nutzung der Windows Management Infrastructure durch den Miner ungewöhnlich.
(Quelle: Pexels David McBee CC0 Lizenz)
Power-Miner für Monero-Krypto-Geld
Die Geschwindigkeit, mit der der Miner mathematische Operationen durchführen kann, um neue Einheiten von Krypto-Währung zu schürfen, wird als "Hash-Power" bezeichnet. Basierend auf der Hash-Power, die mit der Monero-Zahlungsadresse für diese Operation verbunden ist, schien es, dass dieses Botnet wahrscheinlich doppelt so groß war wie Adylkuzz. Die Betreiber des Botnetzes hatten bereits ca. 8.900 Monero geschürft (entspricht geschätzt in dieser Woche einem Wert zwischen 2,8 und 3,6 Mio. $). Jeden Tag förderte das Botnet etwa 24 Monero, die in dieser Woche durchschnittlich $8.500 wert sind.
Angriff über 25 Hosts
Mindestens 25 Hosts führten Angriffe über EternalBlue (CVE-2017-0144 SMB) durch, um neue Knoten zu infizieren und das Botnetz zu vergrößern. Die Hosts scheinen alle hinter dem netzwerkunabhängigen System AS63199 zu sitzen. Andere Forscher berichteten auch über Angriffe über MySQL, und die Leute von Proofpoint glauben, dass die Akteure wahrscheinlich auch EsteemAudit (CVE-2017-0176) verwenden, wie die meisten anderen EternalBlue-Angreifer. Die Command and Control (C&C)-Infrastruktur des Botnets wird über SharkTech gehostet. Der Betreiber wurde über den Missbrauch informiert, Proofpoint hat , aber keine Antwort auf die Missbrauchsmeldung erhalten.
Anzeige
Mit Hilfe von Abuse.CH und der ShadowServer Foundation setzten die Proofpoint-Leute ein Sink-Hole auf. Ziel war es, die Botnet-Größe und den Standort der einzelnen Knoten zu bestimmen. Das Botnet umfasst mehr als 526.000 infizierte Windows-Hosts, von denen Proofpoint glaubt, dass es sich bei den meisten um Server handelt. Diese Knoten sind weltweit verteilt, wobei die höchsten Zahlen in Russland, Indien und Taiwan beobachtet werden. Weitere Details finden sich bei Proofpoint oder The Hacker News.
Anzeige