Phát hiện botnet đào tiền mã hóa khổng lồ mang tên Smominru, lây nhiễm ra ít nhất nửa triệu máy tính, kiếm 8.500 USD mỗi ngày cho hacker

Phát hiện botnet đào tiền mã hóa khổng lồ mang tên Smominru, lây nhiễm ra ít nhất nửa triệu máy tính, kiếm 8.500 USD mỗi ngày cho hacker

05/02/2018
Smominru Botnet

Smominru Botnet

Botnet khai thác tiền mã hóa Smominru đã lây nhiễm ra ít nhất nửa triệu máy tính, hầu hết là server (máy chủ) Windows, và lây lan bằng EternalBlue, một phương thức khai thác lỗ hổng WannaCry.

Các nhà nghiên cứu bảo mật vừa phát hiện ra một mạng botnet khai thác tiền mã hóa khổng lồ, chiếm quyền điều khiển hơn nửa triệu máy tính trên toàn cầu và có thể mang lại cho những kẻ đứng sau nó hàng triệu USD. Toàn bộ hoạt động của botnet này đều nhờ EternalBlue, phương thức khai thác lỗ hổng WannaCry do chính NSA phát triển nhưng vô tình để lộ ra ngoài.

Botnet khai thác tiền mã hóa có tên Smominru này đã biến các máy tính bị nhiễm thành máy đào tiền mã hóa Monero. Ước tính, kể từ khi hoạt động vào tháng 5/2017 tới nay, Smominru đã mang về khoảng 3,6 triệu USD cho chủ nhân của nó.

Smominru

Mặc dù chuyện hacker tận dụng sức mạnh của những mạng máy tính bị chiếm quyền điều khiển cho việc khai thác tiền mã hóa không hề mới. Tuy nhiên, Smominru nổi bật bởi quy mô của nó. Mạng botnet này lớn gấp đôi so với botnet đào tiền mã hóa Adylkuzz trước đây.

Các nhà nghiên cứ tại Proofpoint cho rằng ở thời điểm đỉnh cao, botnet Smominru được tạo ra bởi 526.000 nút. Mặc dù đã có những nỗ lực nhằm gỡ bỏ nhưng botnet có tính linh hoạt cao và có thể tự phục hồi vì thế nó vẫn là công cụ khai thác Monero mạnh mẽ với những kẻ xấu.

Với quy mô của mình, Smominru đã khai thác được 8.900 Monero cho chủ nhân. Số Monero này trị giá khoảng từ 2,8 tới 3,6 triệu USD. Mỗi ngày Smominru lại khai thác được khoảng 24 Monerro, tương đương 8.500 USD.

Sức mạnh của Monero còn tới từ loại máy tính mà nó kiểm soát. Đa số các nút trong botnet Smominru là server Windows.

Các server hấp dẫn những thợ đào mỏ kỹ thuật số trái phép ở sức mạnh xử lý và khả năng hoạt động liên tục. Trong khi đó, rất ít tổ chức biết máy chủ của họ đang trở thành một nút trong botnet Smominru.

Những chuyên gia bảo mật lưu ý rằng hacker sử dụng ít nhất 25 máy chủ để dò tìm những máy tính Windows có thể bị tấn công bằng EternalBlue. Bên cạnh đó, chúng cũng sử dụng phương thức khai thác EsteemAudit cho lỗ hổng trong RDP trên Windows Server 2003 và Windows XP để tăng thêm số nút cho botnet.

Monero

Mặc dù có thời điểm các đơn vị chức năng đã đánh sập một phần ba mạng botnet Smominru nhưng rồi nó lại tự phục hồi.

Việc sử dụng EternalBlue giúp những kẻ đứng sau Smominru tái tạo lại mạng lưới nhanh chóng và cho phép nó phát triển thành một mạng lớn hơn so với con số nửa triệu hiện tại.

Đa số các hệ thống bị nhiễm nằm ở Nga, Ấn Độ và Đài Loan. Có thể hacker đặc biệt nhắm mục tiêu vào những quốc gia này. Tuy nhiên, hoàn toàn có khả năng đây chỉ là những quốc gia đại diện cho khu vực trên toàn cầu, nơi mà các hệ thống vẫn chưa được vá triệt để phương thức khai thác EternalBlue.

“Mặc dù chúng tôi mong rằng số lượng máy tính bị nhiễm sẽ giảm đi theo thời gian nhưng rõ ràng vẫn còn nhiều máy tính trên toàn thế giới vẫn chưa được vá phương thức khai thác EternalBlue”, Kevin Epstein, phó chủ tịch tại Proofpoint chia sẻ.

Mặc dù bitcoin vẫn là loại tiền mã hóa phổ biến nhất nhưng vì những lý do khác nhau như tính riêng tư và khả năng đổi sang tiền mặt nhanh chóng khiến rất nhiều thợ mỏ kỹ thuật số đang chuyển sang những phương án thay thế như Monero.

Sưu tầm