Smominru: Riesiges Botnetz missbraucht Windows-Server für Kryptomining

Über eine halbe Million Windows-Server sollen von einer Malware befallen sein, mit deren Hilfe in großem Stil die Kryptowährung Monero geschürft wird. Die Täter verdienen damit offenbar bis zu 8.500 US-Dollar pro Tag.

Artikel veröffentlicht am ,
Weltweite Verbreitung von Smominru nach Messungen von Proofpoint
Weltweite Verbreitung von Smominru nach Messungen von Proofpoint (Bild: Proofpoint)

Das von der IT-Sicherheitsfirma Proofpoint beschriebene Botnetz besteht demnach aus über einer halbe Million infizierter Server, von denen die meisten unter Microsoft Windows liefen. Die Malware nutze den bereits bekannten SMB-Exploit Eternalblue, der aus dem NSA-Fundus der Hackergruppe Shadowbrokers stammt. Bereits die 2017 wütende Ransomware Wannacry setzte auf Eternalblue für die Verbreitung auf Windows-Rechnern.

Stellenmarkt
  1. (Senior) Cloud Developer (m/w/d)
    AUSY Technologies Germany AG, verschiedene Standorte
  2. Project Lead (m/w/d)
    SEITENBAU GmbH, Konstanz, remote
Detailsuche

Das auf den Namen Smominru getaufte Botnetz soll das größte seiner Art sein. Während Malware-Angriffe, mit denen auf fremden Rechnern Kryptowährungen geschürft werden, nichts Neues sind, sticht Smominru durch die Masse infizierter Server hervor: In ihrer Untersuchung des Botnetzes hat Proofpoint nach eigenen Angaben zeitweise 526.000 befallene Nodes gezählt.

Server besonders lukrativ

Anders als die 2017 aufgetretene Kryptomining-Malware Linux.MulDrop.14, die sich über ungeschützte SSH-Zugänge auf Raspberry-Pi-Geräten installierte, zielt Smominru offenbar auf leistungsstärkere Server. Auf diese Weise können die Macher in kürzerer Zeit deutlich mehr Kryptowährung schürfen, als dies mit den leistungsschwachen Kleinstrechnern der Fall ist. Gegenüber Desktopcomputern haben Server zudem den Vorteil, dass die meist rund um die Uhr angeschaltet bleiben. Insgesamt sollen die Täter durch den Missbrauch fremder Rechenleistung und Elektrizität rund 8.900 Monero geschürft haben, was aktuell ungefähr einem Gegenwert von 1,4 Millionen Euro entspricht.

  • Smominru Hashrate auf MineXMR zwischen 30. Dezember und 13. Januar (Quelle: Proofpoint)
Smominru Hashrate auf MineXMR zwischen 30. Dezember und 13. Januar (Quelle: Proofpoint)

Trotz der Versuche der Sicherheitsfirma, Smominru über DNS-Sinkholes und das Blockieren der von den Tätern verwendeten Monero-Adressen einzudämmen, konnte sich das Botnetz offenbar weiter vergrößern. "Mit der Hilfe von Abuse.ch und der Shadowserver Foundation haben wir eine Sinkhole-Operation durchgeführt, um die Größe des Botnetzes und die Verteilung der Nodes zu analysieren", schreibt Proofpoint in einem Blogeintrag. Die Betreiber des Botnetzes seien jedoch hartnäckig und hätten mehrere Wege gefunden, sich von den Sinkhole-Operationen zu erholen.

Weltweiter Schaden

Golem Akademie
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

Laut Proofpoint sind die infizierten Server weltweit verteilt, die meisten der betroffenen Rechner stünden aber in Russland, Indien und Taiwan. Auch die Ukraine, Brasilien und Japan seien unter den besonders betroffenen Ländern. Für Deutschland liegen keine gesonderten Zahlen vor.

Der Schaden durch Smominru könnte schon jetzt erheblich sein. Windows-Server stellen in vielen Einsatzbereichen kritische Geschäftsinfrastruktur bereit, bei der eine Verlangsamung durch paralleles Schürfen von Kryptowährung wichtige Prozesse stören kann. Der Schutz vor einem Befall ist dabei denkbar einfach. Nachdem die NSA, die den Exploit einst entwickelte, die Lücke lange geheim gehalten hatte, stellte Microsoft nach dem Shadowbrokers-Leak schnell Patches für Eternalblue bereit. Man muss sie nur einspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ldlx 08. Feb 2018

Den Image-Namen eines ausgeführten Prozesses kannst du fälschen. Wird zum Beispiel für...

Proctrap 07. Feb 2018

schaffen vielleicht schon, ich glaube sogar viele Nutzer würden mit etwas Anleitung ihre...

DWolf 06. Feb 2018

Gut, also noch jemand zumindest mit n bisschen mehr Spam, danke :) Hängen bleiben tun sie...

Squirrelchen 06. Feb 2018

Ähm nö, denke ich nicht. Nur wenn ich mich dazu hinreißen lasse, kriminell zu agieren...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Disney+ mit Werbefinanzierung: Für Vorschulkinder bleibt Disney+ immer werbefrei
    Disney+ mit Werbefinanzierung
    Für Vorschulkinder bleibt Disney+ immer werbefrei

    Es gibt neue Details zur werbefinanzierten Version von Disney+. Disney nutzt die eigene Marktmacht konsequent aus.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€, Kingston Fury DDR5-4800 32GB 195€) • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar [Werbung]
    •  /