Эксперты раскрыли ботнет Smominru, который включает 526 тыс. Windows-серверов. Ботнет используется для майнинга криптовалюты Monero, пишет Proofpoint.
Ботнет запустили в мае 2017 года. Smominru уже сгенерировал не менее 8,9 тыс. токенов, стоимость которых по курсу составляет 3,6 млн долларов.
Сейчас ботнет ежедневно добывает 24 Monero (8,5 тыс. долларов)
Хакеры использовали эксплоит EternalBlue (CVE-2017−0144), который разработало Агентство национальной безопасности США. К слову, EternalBlue вместе с другим эксплоитом, DoublePulsar, применили в атаке WannaCry.
Инфраструктура Smominru основана на сервисе защиты от DDoS-атак SharkTech. Proofpoint проинформировала разработчиков, но те проигнорировали сообщение.
Атака охватила весь земной шар, но больше всего зараженных серверов — в России, Индии и Тайване.
Попытки ограничить работу ботнета привели лишь к кратковременным успехам. Специалисты по кибербезопасности из Proofpoint, abuse. ch и ShadowServer Foundation попытались уничтожить ботнет, используя технику под названием «потопление» (sinkholing), но Smominru быстро восстановился.