Mining Botnetz Smominru: Windows-Exploit für Kryptomining

Es gibt ein riesiges Botnetz namens Smominru, das sich auf das Mining von Kryptowährungen spezialisiert hat. Anders als bei herkömmlichen Mining-Methoden ist es bei diesem Botnetz nicht notwendig, eine Grafikkarte zu nutzen. Stattdessen konzentriert es sich vor allem auf Server. Smominru nutzt Windows-Exploits um auf die Server zuzugreifen und sie für das Mining zu nutzen. Das Botnetz konnte bereits eine enorme Anzahl von Servern infizieren und ist nach wie vor aktiv.


Aktuell macht ein Botnetz namens Smominru von sich reden über das einige Miner weltweit Windows Server mit Malware infiziert haben um die Rechenleistung der Server zum Schürfen der Kryptowährung Monero zu missbrauchen.

Über eine halbe Million befallene Nodes

Bereits Ende Januar 2018 veröffentlichte die Sicherheitsfirma Proofpoint einen detaillierten Bericht zu Smominru (via Golem). Demzufolge haben die Betreiber des Botnetzes bereits 8․900 Monero geschürft (laut aktuellem Kurs vom 07. Februar 2018 eine Summe von knapp zwei Millionen US-Dollar), bei einer Tagesrate von 24 Monero (derzeit etwa 5․150 US-Dollar). Den Minern kommt dabei vor allem die Leistungsfähigkeit der befallenen Windows-Server gegenüber normalen Desktop-Rechnern zugute.

Proofpoint beobachtet Smominru seit Ende Mai 2017 und hat festgestellt. Dass Miner den EternalBlue Exploit (CVE-2017-0144) ausnutzt um Monero zu schürfen. Diese Sicherheitslücke verhalf bereits unter anderem der Ransomware WannaCry zu ihrem zweifelhaften Erfolg und nutzt einen Fehler im SMB-Netzwerkprotokoll von Windows aus.

Wer sich fragt was eine Kryptowährung überhaupt ist, dem empfehlen wir unseren Übersichtsartikel: Krypto-Mining - Was ist das und wie funktioniert es?

Dem Bericht der Sicherheitsexperten zufolge nutzt Smominru für seine Attacken mindestens 25 Hosts, deren Infrastruktur offenbar von SharkTech stammt. Als Proofpoint zusammen mit Abuse.ch und der ShadowServer Foundation die Größe des Botnetzes analysierte, stellten sie fest, dass es derzeit weiterhin als 526․000 Windows-Hosts infiziert hat - der Großteil davon Windows-Server. Die meisten dieser Server sollen sich in Russland Indien und Taiwan befinden.

Proofpoint kommt zu dem Schluss: Das Interesse an Monero wegen des ressourcen-intensiven Bitcoin-Minings stark gestiegen sei: »Während Monero nicht länger effektiv auf Desktop 💻 Computern gefarmt werden kann, erweist sich ein dezentralisiertes Botnet wie das hier beschriebene als ziemlich lukrativ für seine Betreiber«, ergänzen die Experten. Entsprechend geht Proofpoint davon aus – dass Botnetze wie Smominru sich in Zukunft weiter verbreiten dürften.

Zuletzt aktualisiert am Uhr





Kommentare


Anzeige