Een botnet dat besmette machines naar de cryptovaluta Monero laat minen bestaat inmiddels uit meer dan 526.000 Windows-machines en heeft de beheerders miljoenen dollars opgeleverd, zo claimt securitybedrijf Proofpoint. De cryptominer, genaamd Smominru, wordt onder andere via de EternalBlue-exploit van de NSA verspreid. Ook maken de aanvallers waarschijnlijk gebruik van de EsteemAudit-exploit van de NSA.
Deze exploit is gericht tegen het Remote Desktop Protocol (RDP) op machines met Server 2003 en Windows XP. De meeste besmette machines die onderdeel van het botnet zijn bevinden zich in Rusland, India en Taiwan. Proofpoint-onderzoeker 'Kafeine' stelt dat het afgelopen jaar de hoeveelheid malware die over een cryptominer beschikt sterk is toegenomen. De onderzoeker verwacht dan ook dat er meer botnets zoals het Smominru-botnet zullen verschijnen. Dat sluit aan bij de analyse van Cisco, waarin wordt gesteld dat cybercriminelen steeds vaker ransomware voor cryptominers verruilen.
Het Russische securitybedrijf Dr. Web kwam eerder ook al met een analyse waarbij Windows-servers worden gehackt en gebruikt voor het minen van de cryptovaluta Monero en Aeon. Het gaat in dit geval om servers die Cleverence Mobile SMARTS Server draaien. Vorig jaar werd er een ernstige kwetsbaarheid in de software gepatcht, maar niet alle beheerders hebben de update uitgerold. Via de kwetsbaarheid kan de server worden overgenomen en de miner geïnstalleerd. Wanneer beheerders het miner-proces proberen te sluiten zal Windows een "emergency shutdown" uitvoeren en een blue screen of death (BSOD) laten zien. Ook probeert de malware de services van verschillende anti-virusproducten te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.