Skema Baru Penjahat Cyber, Smominru Meretas 90.000 Komputer

Cyberthreat.id – Selama bertahun-tahun perangkat yang terhubung dengan internet tidak aman memuluskan beragam kejahatan dunia maya, paling umum adalah DDoS dan spam.

Perkembangan terkini, The Hacker News melaporkan, penjahat cyber beralih ke skema yang menguntungkan, botnet tidak hanya meluncurkan DDoS atau spam —juga menambang cryptocurrency.

Adalah Smominru, bot cryptocurrency top dan mencuri kredensial, menjadi salah satu virus komputer yang menyebar cepat menginfeksi lebih 90.000 mesin di seluruh dunia setiap bulan.

“Meskipun botnet Smominru belum dirancang untuk mengejar target dengan minat khusus, laporan terbaru dari para peneliti Guardicore Labs menjelaskan sifat korban dan infrastruktur serangan,” tulis The Hacker News.

Menurut para peneliti, bulan lalu lebih dari 4.900 jaringan terinfeksi oleh worm tanpa diskriminasi, dan banyak dari jaringan ini memiliki puluhan mesin internal yang terinfeksi.

Jaringan yang terinfeksi meliputi institusi pendidikan tinggi di AS, perusahaan medis, dan bahkan perusahaan cybersecurity, dengan jaringan terbesar milik penyedia layanan kesehatan di Italia dengan total 65 host terinfeksi.

Aktif sejak 2017, botnet Smominru mengkompromikan mesin Windows terutama menggunakan EternalBlue, sebuah eksploitasi yang dibuat oleh Badan Keamanan Nasional AS tetapi kemudian bocor ke publik oleh kelompok peretasan Shadow Brokers yang terkenal dengan serangan ransomware WannaCry pada 2016.

Botnet juga dirancang mendapatkan akses awal pada sistem yang rentan dengan hanya memaksa kredensial yang lemah untuk berbagai layanan Windows, termasuk MS-SQL, RDP, dan Telnet.

Setelah mendapatkan akses awal ke sistem yang ditargetkan, Smominru memasang modul Trojan dan penambang cryptocurrency lalu menyebar di dalam jaringan untuk memanfaatkan kekuatan CPU PC korban untuk menambang Monero dan mengirimkannya ke dompet milik operator malware.

Sebulan lalu, terungkap bahwa operator di belakang botnet meningkatkan Smominru untuk menambahkan modul pemanenan data dan Remote Access Trojan (RAT) ke kode penambangan cryptocurrency botnet mereka.

Varian terbaru Smominru mengunduh dan menjalankan setidaknya 20 skrip berbahaya dan muatan biner, termasuk pengunduh worm, trojan horse, dan rootkit MBR.

"Para penyerang membuat banyak pintu belakang pada mesin dalam fase serangan yang berbeda. Ini termasuk pengguna yang baru dibuat, tugas yang dijadwalkan, objek WMI dan layanan yang ditetapkan untuk dijalankan pada saat boot," kata para peneliti.

Menurut laporan baru, para peneliti Guardicore Labs mengatakan berhasil mendapatkan akses ke salah satu server inti penyerang, yang menyimpan informasi korban dan kredensial curian mereka, bahkan melihat lebih dekat pada sifat para korban.

"Log penyerang menggambarkan setiap host yang terinfeksi; termasuk alamat IP eksternal dan internal, sistem operasi yang dijalankannya, dan bahkan beban pada sistem CPU. Selanjutnya, para penyerang berusaha mengumpulkan proses yang berjalan dan mencuri kredensial menggunakan Mimikatz," kata para peneliti sebagaimana dikutip The Hacker News.

"Guardicore Labs telah memberi tahu para korban yang dapat diidentifikasi dan memberi mereka rincian mesin yang terinfeksi."

Botnet menginfeksi mesin-mesin yang rentan —sebagian besar menjalankan Windows 7 dan Windows Server 2008 — dengan laju 4.700 mesin per hari dan beberapa ribu infeksi terdeteksi di negara-negara termasuk China, Taiwan, Rusia, Brasil, dan AS.

Mayoritas mesin yang terinfeksi ditemukan terutama server kecil, dengan 1-4 core CPU, membuat sebagian besar komputer tidak dapat digunakan karena kelebihan penggunaan CPU untuk proses penambangan.

Analisis para peneliti mengungkapkan seperempat korban Smominru diinfeksi ulang oleh worm, menunjukkan bahwa mereka "berusaha membersihkan sistem tanpa memperbaiki akar masalah penyebab rentan di tempat pertama."

Tidak seperti varian Smominru sebelumnya, varian baru juga menghilangkan infeksi dari sistem yang dikompromikan, jika ada, yang ditambahkan oleh kelompok penjahat dunia maya lainnya, bersama dengan memblokir port TCP (SMB, RPC) dalam upaya mencegah penyerang lain dari pelanggaran yang terinfeksi.

Peneliti Guardicore juga telah merilis daftar lengkap IoC (indikator kompromi) dan skrip Powershell gratis di GitHub yang dapat Anda jalankan dari antarmuka baris perintah Windows untuk memeriksa apakah sistem Anda terinfeksi dengan cacing Smominru atau tidak.

Karena worm Smominru memanfaatkan eksploitasi EternalBlue dan kata sandi yang lemah, pengguna disarankan memperbarui sistem dan perangkat lunak dan tetap menggunakan kata sandi yang kuat, kompleks dan unik agar tak menjadi korban.

Selain itu, untuk sebuah organisasi, juga penting memiliki langkah-langkah keamanan tambahan.[]