Botnet Smominru Menginfeksi Lebih dari 500.000 Mesin Windows

Botnet Smominru

Lebih dari 526.000 komputer Windows - terutama server Windows - telah terinfeksi perangkat lunak penambangan Monero oleh kelompok yang mengoperasikan botnet terbesar yang diketahui sampai saat ini.

Operasi kelompok ini telah diketahui peneliti keamanan sejak tahun lalu, dan berbagai perusahaan telah menerbitkan laporan tentang aktivitasnya. Karena botnet sangat besar dan meluas, sebagian besar laporan sebelumnya hanya mencakup sebagian kecil dari keseluruhan operasi kelompok.

Laporan terbaru yang sampai di bagian bawah semuanya berasal dari Qihoo 360 NetLab (botnet diberi nama MyKings) dan Proofpoint (botnet bernama Smominru).

Perusahaan lain yang menerbitkan laporan tentang pecahan infrastruktur dan operasi botnet meliputi GuardiCore, Trend Micro, Kaspersky, Panda Security, dan Crowdstrike, namun juga beberapa peneliti independen China.

Smominru menghasilkan sekitar $ 2,3 juta

Menempatkan semua ini bersama-sama, kita memiliki gambaran besar botnet pertambangan terbesar yang terlihat sampai saat ini. Botnet telah menginfeksi lebih dari 520.000 mesin dan telah menghasilkan 8.900 Monero ($ 2,3 juta) untuk operatornya.

Operator Smominru menggunakan teknik yang berbeda untuk menginfeksi mesin. Mereka terutama mengandalkan penggunaan eksploitasi EternalBlue (CVE-2017-0144), namun mereka juga telah menyebarkan EsteemAudit (CVE-2017-0176), keduanya bertujuan untuk mengambil alih mesin yang menjalankan OS Windows yang tidak terpakai.

Seperti yang ditunjukkan oleh GuardiCore, botnet tersebut juga menargetkan server MySQL di mesin Linux, namun juga database MSSQL di Windows Server.

Baik GuardiCore dan NetLab mengamati kelompok yang menyebarkan berbagai macam strain malware pada host yang terinfeksi, dari jet Mirai DDoS ke backdoors, walaupun operasi utama mereka selalu merupakan penambangan Monero.

Total jumlah korban bisa sekitar 1 juta.

Menurut data yang dikumpulkan setelah menyerap sebagian infrastruktur botnet, sebagian besar korban berada di Rusia, India, Taiwan, Ukraina, dan Brasil.

Sementara operasi sinkholing menghasilkan hasil yang memungkinkan Proofpoint memperkirakan ukuran botnet sekitar setengah juta, kata seorang peneliti NetLab, perusahaan mereka memperkirakan botnet di sekitar 1 juta host yang terinfeksi, berdasarkan sumber yang berbeda.

Dalam laporan sebelumnya, GuardiCore mengatakan bahwa ada bukti kuat yang menunjukkan bahwa operator Smominru berbasis di China, walaupun Proofpoint mengatakan sebagian besar pemindai IP botnet beroperasi dari AS63199 - jaringan berbasis AS.

Proofpoint juga menunjukkan bahwa Smominru saat ini hampir dua kali ukuran botnet Adylkuzz, keluarga malware pertama (bahkan sebelum WannaCry) pernah menggunakan eksploitasi EternalBlue. Adylkuzz juga merupakan botnet Monero-mining.

Sebuah serangan cyber sepertinya tidak ada habisnya makin hari selalu saja ada serangan baru yang lebih kuat dibanding sebelumnya ,karena sebelumnya tekloggers sekitar 1 bulan lalu sudah menemukan serangan mirai botnet , kemudian lanjut ke 2 pekan setelahnya andormeda botnet , apa yang selanjutna ? ...


Potrait :

  • BleepingComputer
  • Qihoo 360 NetLab
  • Proofpoint 
  • GuardiCore
  • Trend Micro
  • Kaspersky
  • Panda Security
  • Crowdstrike

Disclamer And Support:

Semua artikel dalam Situs kami dilindungi oleh Google DCMA, Jika ada oknum yang copas tanpa seizin admin mohon segera diubah / dilaporkan sebelum blog kalian down.Dukung kami dengan memberikan komentar , Donasi , dan Follow

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel

Berlangganan newsletter kami

Notification
Agar Tidak Ketinggalan Postingan / Artikel Terupdate Dari Kami Kliknya follow
Done