Per dimensioni e consistenza, è una delle botnet più pericolose “viste” in giro negli ultimi mesi. Forte del suo mezzo milione di dispositivi zombie (ma il numero è in rapida crescita), Smominru mette paura un po’ a tutti, esperti di sicurezza informatica in primis.
I motivi di tanta preoccupazione, però, non sono quelli che potete facilmente immaginare. A differenza del passato, quando le botnet erano utilizzate per massicci attacchi DDoS in grado di mettere a rischio il funzionamento di Internet (vedi il caso di Mirai, ad esempio), oggi le reti di dispositivi zombie sono utilizzate per minare criptovalute. Sono sempre di più gli hacker che preferiscono utilizzare la potenza di calcolo dei computer infetti per creare Bitcoin, Ethereum o altre criptovalute: un sistema che consente di guadagnare più velocemente e, soprattutto, di attirare meno attenzioni da parte di Governi e ricercatori di sicurezza informatica.
Scoperta dagli esperti di sicurezza di Proofpoint, Smominru sfrutta il gruppo di vulnerabilità conosciute con il nome di EternalBlue (utilizzate anche da agenzie di spionaggio per tenere sotto controllo PC di milioni di persone in tutto il mondo) per infettare PC e diffondersi attraverso Internet. Creata nel maggio 2017, Smominru ha subito diversi tentativi di “neutralizzazione”, ma è sempre stata in grado di resistere e risollevarsi. Da inizio 2018 vive una sorta di “seconda giovinezza e arriva a superare il mezzo milione di dispositivi zombie.
Una volta infettato un computer, Smominru si diffonde automaticamente verso altri dispositivi della stessa rete, riuscendo così a diffondersi abbastanza velocemente. Una volta attivo, “forza” il PC a scaricare tutti i software necessari per unirsi a un pool di miner e iniziare a creare Monero, tra le criptovalute preferite da hacker e cybercriminali per gli alti livelli di anonimato che è in grado di offrire. Si tratta, dunque, di una forma evoluta di criptojacker, ossia quei software o virus che obbligano computer e smartphone a minare senza che il loro legittimo proprietario ne sappia nulla.
Così facendo, gli autori di Smominru sono stati in grado di generare fino a 30 Monero al giorno, per un totale di circa 9.000 Monero nell’arco di sette mesi di attività. Tenendo conto del valore dei Monero, si tratta di un capitale di oltre 2 milioni di dollari.
Botnet di server
Smominru, ovviamente, non è la prima botnet utilizzata per minare altcoin. Si distingue dalle altre, però, per due motivi: la sua grandezza (oltre 500mila computer zombie) e per essere composta quasi esclusivamente da server Windows. Questa scelta ha consentito ai cybercriminali di avere a disposizione dei miner molto potenti e, soprattutto, sempre attivi.