Перейти к содержанию

Ботнет Smominru ежедневно заражает еще 4700 компьютеров

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Согласно данным из открытых источников, ботнет Smominru, активный с 2017 года, сейчас стал одним из самых быстро распространяющихся зловредов. Только в августе 2019 года он заразил 90 000 машин по всему миру. Ежедневно он захватывает до 4700 новых компьютеров. Основная масса атак пришлась на Китай, Тайвань, Россию, Бразилию и США, но это вовсе не означает, что эпидемия обошла стороной другие страны. Так, например, самая большая из атакованных Smominru сеть, где было заражено 65 хостов, находилась в Италии.
smominru-botnet-eternalblue-featured.jpg
 

Как распространяется ботнет Smominru

 

Преступники, стоящие за атаками, не особенно разборчивы в выборе целей — жертвами становились самые разные организации, от университетов до здравоохранительных учреждений. Однако четко прослеживается один общий момент: около 85% заражений пришлось на системы под управлением Windows 7 и Windows Server 2008. Оставшаяся часть пришлась на Windows Server 2012, Windows XP и Windows Server 2003.
Примерно четверть зараженных машин была заражена повторно — после того, как Smominru был единожды удален. Иными словами, некоторые жертвы провели чистку своих систем, но проигнорировали первопричину проблемы.
Естественно, возникает вопрос: в чем же кроется эта самая первопричина? Для распространения ботнет использует несколько методов, но в основном заражение происходит одним из двух способов: либо за счет подбора учетных данных для различных служб Windows (brute force), либо с использованием печально известного эксплойта EternalBlue — именно этот вариант является наиболее распространенным.
Несмотря на то, что в 2017 году Microsoft выпустила (в том числе и для неподдерживаемых ОС) исправление используемой эксплойтом EternalBlue уязвимости, из-за которой вспыхнули эпидемии WannaCry и NotPetya, многие компании попросту игнорируют обновления, что и позволяет Smominru захватывать все больше компьютеров.
 
Читать далее >>

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Как DollyWay заражает сайты WordPress в 2025 году
      Автор KL FC Bot
      Система управления контентом WordPress используется на 43,5% сайтов в Интернете, поэтому нет ничего удивительного в том, что злоумышленники постоянно ищут способы атаки на нее. В марте этого года исследователи кибербезопасности хостинговой компании GoDaddy описали продолжающуюся с 2016 года операцию, в рамках которой за последние 8 лет было скомпрометировано более 20 000 веб-сайтов на WordPress по всему миру.
      Операция получила название DollyWay World Domination из-за строки кода, найденной в нескольких вариантах вредоносного ПО, — define (‘DOLLY_WAY’, ‘World Domination’). В рамках DollyWay злоумышленники внедряют на сайты вредоносные скрипты с разнообразной функциональностью. Основная цель злоумышленников — перенаправление трафика посетителей легитимных сайтов на посторонние страницы. По состоянию на февраль 2025 года эксперты фиксировали более 10 тысяч зараженных WordPress-сайтов по всему миру.
      Для компрометации сайтов злоумышленники используют уязвимости в плагинах и темах WordPress. Через них на сайт сначала внедряется
      нейтральный скрипт, не привлекающий внимание систем безопасности, выполняющих статический анализ HTML-кода. А он, в свою очередь, подгружает более опасные скрипты, которые служат для профилирования жертвы, общения с командными серверами и непосредственно перенаправления посетителей зараженных сайтов. Более подробное техническое описание работы этих скриптов можно почитать в оригинальном исследовании.
      Как преступники монетизируют свою схему
      Ссылки редиректа, которые формирует DollyWay, содержат партнерский идентификатор. Это очень похоже на реферальные программы, которые часто используют, например, блогеры при рекламе тех или иных продуктов или сервисов. С помощью таких идентификаторов сайты определяют, откуда к ним попали пользователи, и обычно отчисляют блогерам процент за покупки тех посетителей, которые пришли через их ссылки. Операция DollyWay World Domination монетизируется очень похожим образом, используя партнерские программы VexTrio и Lospollos.
      VexTrio называют Uber в мире киберпреступности. Этот ресурс предположительно активен как минимум с 2017 года, а его основная роль состоит в посредничестве при распространении мошеннического контента, шпионского и вредоносного ПО, порнографии и так далее. Именно VexTrio непосредственно занимается перенаправлением трафика, который приходит от DollyWay, на мошеннические сайты.
       
      View the full article
    • Reshat
      Зашифровали компьютер
      Автор Reshat
      Добрый день!Зашифровали компьютер с файлами пишут:
      Hello my dear friend (Do not scan the files with antivirus in any case. In case of data loss, the consequences are yours)
      Your data is encrypted by KOZANOSTRA
      Your decryption ID is <ID>*KOZANOSTRA-<ID>
      Unfortunately for you, a major IT security weakness left you open to attack, your files have been encrypted
      The only method of recovering files is to purchase decrypt tool and unique key for you.
      If you want to recover your files, write us
      1) eMail - vancureez@tuta.io
      2) Telegram - @DataSupport911 or https://t.me/DataSupport911
      Attention!
      Do not rename encrypted files. 
      Do not try to decrypt your data using third party software - it may cause permanent data loss. 
      We are always ready to cooperate and find the best way to solve your problem. 
      The faster you write - the more favorable conditions will be for you. 
      Our company values its reputation. We give all guarantees of your files decryption.
       
      Файлы скана прикрепляю к сообщению.
      Addition.txt FRST.txt
    • 4tetree
      Зашифровали компьютер
      Автор 4tetree
      Добрый день!Зашифровали компьютер с файлами пишут:
       
      ссылка удалена ссылка на скачивание двух зараженных файлов
    • Доминика Тептина
      как собрать офисный компьютер
      Автор Доминика Тептина
      как сделать офисный компьютер
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...