Эпидемия Smominru: вирус-майнер «заработал» уже $3,6 млн с помощью эксплойта АНБ

Эпидемия Smominru: вирус-майнер «заработал» уже $3,6 млн с помощью эксплойта АНБ.
Специализирующаяся на кибербезопасности компания Proofpoint объявила об обнаружении нового вируса-майнера, заразившего уже более полумиллиона компьютеров с помощью эксплойта EternalBlue. Ранее этой же уязвимостью, работу над которой приписывают Агентству национальной безопасности США, пользовался нашумевший шифровальщик WannaCry, говорится в отчете специалистов.

Исследователи сообщают о новом ботнете Smominru (или Ismo), использующем эксплойт EternalBlue (CVE-2017-0144) в операционных системах Windows для добычи криптовалюты Monero. Секретные сведения об уязвимости и исполняемый код были опубликованы хакерской группой The Shadow Brokers 14 апреля 2017 года.

По данным Proofpoint, Smominru заразил уже более 526 тысяч компьютеров — в основном серверы, использующие версии Windows без необходимых обновлений. Отмечается, что большинство зараженных систем расположено в России, Индии и Тайване.

Также отмечается, что инфраструктура Smominru построена на основе сервиса защиты от DDoS-атак SharkTech, создатели которого были уведомлены о неправомерном использовании, однако, судя по всему, проигнорировали данную информацию.

По данным исследователей, хакеры запустили как минимум 25 машин для сканирования интернета в поисках уязвимых компьютеров, также они используют для заражения другой «утекший» эксплойт АНБ — EsteemAudit (CVE-2017-0176).

Еще одна компания в сфере кибербезопасности, CrowdStrike, опубликовала информацию о другом майнере, использующем EternalBlue — WannaMine. Он также добывает Monero.

Из-за того что WannaMine не скачивает на зараженные компьютеры какие-либо приложения, его достаточно сложно найти с помощью антивирусов. Исследователи CrowdStrike отмечают, что вредоносная программа «прерывала работу различных компаний на дни и недели».

Стоит отметить, что в прошлом году компания Microsoft устранила уязвимость EternalBlue в серии обновлений MS17-010, причем патчи были выпущены даже для официально не поддерживаемых операционных систем: Windows XP, Windows Vista и Windows Server 2003. Таким образом, в настоящее время главной защитой от подобных вирусов является своевременное обновление программного обеспечения.

В то же время Microsoft подтвердила, что уязвимости были подвержены все версии Windows, начиная с Windows XP и заканчивая Windows Server 2016, то есть эксплойт оставался без внимания на протяжении по крайней мере 16 лет.

Первое публичное его использование было зарегистрировано 21 апреля 2017 года, когда программа-бэкдор DoublePulsar, основанная на коде АНБ, поразила свыше 200 тысяч компьютеров в течение нескольких дней. 12 мая 2017 года появился шифровальщик WannaCry, использовавший EternalBlue и код DoublePulsar, который поразил десятки тысяч компьютеров в интернете.

Иронично, что 23-летний британский эксперт по кибербезопасности Маркус Хатчинс, которому в мае 2017 года удалось остановить распространение WannaCry, уже 2 августа был задержан агентами ФБР. Мужчину обвинили в создании в 2014 году банковского трояна Kronos и распространении хакерских инструментов.




Источник.

И как его обнаружить и удалять?

да пусть он у вас работает. вам же не жалко для кого-то крипту добывать? если в игры не играете, то особо не почувствуете падение производительности своего ПК.