2017’den beri aktif olan Smominru, halka açık bir rapora göre en hızlı yayılan kötü amaçlı yazılımlardan biri haline geldi. 2019’un yalnızca Ağustos ayında, günde 4700’e kadar bilgisayara bulaşma oranıyla dünya çapında 90.000 makineyi etkiledi. Saldırılar en çok Çin, Tayvan, Rusya, Brezilya ve ABD’de gerçekleşti, fakat bu, diğer ülkelerin kapsam dışında kaldığı anlamına gelmiyor. Örneğin, Smominru’nun 65 ana bilgisayara virüs bulaştırarak hedef eldığı en geniş ağ İtalya’daydı.
Smominru botnet nasıl yayılıyor
Botneti yayan suçlular, üniversitelerden sağlık hizmeti sağlayıcılarına kadar uzanan hedefleri hakkında pek seçici davranmıyorlar. Fakat hedeflerin ortak bir yönü var: Virüse maruz kalma vakalarının %85’i, Windows 7 ve Windows Server 2008 sistemlerinde gerçekleşiyor. Geri kalan vakaların gerçekleştiği sistemler ise Windows Server 2012, Windows XP ve Windows Server 2003.
Saldırıdan etkilenen makinelerin yaklaşık dörtte biri, Smominru sistemden çıkarıldıktan sonra tekrar virüse maruz kaldı. Başka bir deyişle, kurbanların bazıları sistemlerini temizledi, fakat olayın temelinde yatan nedeni atladı.
Bu da şu soruyu akla getiriyor: Temelde yatan neden ne? Botnet, yayılmak için birden fazla yöntem kullansa da sistemi esas olarak iki şekilde etkiliyor: Farklı Windows hizmetlerinin zayıf kimlik bilgilerini kaba kuvvetle zorlayarak veya çoğunlukla ünlü EternalBlue kötüye kullanımı aracılığıyla.
Microsoft, daha önce WannaCry ve NotPetya salgınlarına sabep olan EternalBlue kötüye kullanımını yamamış olsa da, 2017’de birçok şirket piyasadan kaldırılan sistemlerin bile güncellemelerini ihmal ediyor.
Smominru botnet iş başında
Smominru sisteme sızdıktan sonra admin$ adında yeni bir kullanıcı oluşturuyor ve yönetici ayrıcalıklarına sahip bu kullanıcıyla birçok zararlı yük indiriyor. En belirgin hedef, virüs bulaştırılan bilgisayarları, kurbanın cebinden kripto para (özel olarak Monero) madenciliği için kullanmak.
Ne var ki durum bundan ibaret değil: Kötü amaçlı yazılım aynı zamanda gözetleme, veri sızdırma ve kimlik hırsızlığı için kullanılan bir dizi modül de indiriyor. Bütün bunlar yetmezmiş gibi, bir defa sızmayı başaran Smominru, mümkün olan en fazla sayıda sisteme virüs bulaştırmak için ağda ilerlemeye çalışıyor.
İlginç bir ayrıntı: Botnet aşırı derecede rekabetçi ve girdiği bilgisayarda karşısına çıkan tüm rakiplerini öldürüyor. Diğer bir deyişle, hedeflenen bilgisayarda çalışan diğer kötü amaçlı faaliyetleri etkisiz hale getirip engellemekle kalmıyor, aynı zamanda rakiplerinin başka virüsler bulaştırmasını da önlüyor.
Saldırı altyapısı
Botnet, birkaçı Malezya ve Bulgaristan’da barındırılsa da çoğu ABD’de yer alan 20’den fazla özel sunucu aracılığıyla çalışıyor. Smominru’nun saldırı altyapısı o kadar geniş bir alana dağıtılmış, karmaşık ve esnek ki, kolayca başa çıkılması oldukça güç; dolayısıyla botnet bir süre daha aktif olmaya devam edecek gibi görünüyor.
Ağınızı, bilgisayarlarınızı ve verilerinizi Smominru’dan nasıl koruyabilirsiniz:
- İşletim sistemlerini ve diğer yazılımları düzenli olarak güncelleyin.
- Güçlü parolalar kullanın. Güvenilir bir parola yöneticisi parola oluşturmanıza, yönetmenize, otomatik olarak geri almanıza ve girmenize yardımcı olur. Bu sizi kaba kuvvetle zorlayarak gerçekleştirilen saldırılara karşı koruyacaktır.
- Güvenilir bir güvenlik çözümü kullanın.