Menurut keterangan resmi Kaspersky selama bulan Agustus 2019, Malware Smominru, telah menginfeksi sekitar 90.000 komputer di seluruh dunia. Artinya, ada sekitar 4.700 komputer yang terinfeksi malware ini setiap harinya.
Adapun negara-negara yang paling banyak mendapat serangan malware ini adalah China, Taiwan, Rusia, Brasil, dan Amerika Serikat. Namun, bukan berarti negara lain tidak menjadi target. Sebut saja Italia, yang merupakan salah satu jaringan terbesar target Smominru, di mana 65 host telah terinfeksi.
Setelah Smominru dihapus, setidaknya sekitar seperempat mesin yang telah terkena serangan, kembali terinfeksi. Dengan kata lain, beberapa target serangan memang membersihkan sistem mereka, tetapi mengabaikan akar penyebabnya.
Apakah akar penyebabnya? Malware ini menggunakan beberapa metode untuk melakukan penyebaran, tetapi yang paling utama adalah infeksi sistem dengan menggunakan salah satu dari dua cara: brute-forcing kredensial lemah atau eksploitasi EternalBlue.
Walau Microsoft telah menambal kerentanan eksploitasi EternalBlue, masih banyak perusahaan yang mengabaikan untuk melakukan pembaruan.
Botnet Smominru Beraksi
Setelah menginfeksi sistem, Smominru menciptakan pengguna baru, yang disebut sebagai admin $, dengan hak istimewa admin pada sistem dan dapat mengunduh sejumlah muatan berbahaya. Tujuannya untuk menggunakan komputer terinfeksi untuk menambang mata uang kripto Monero dengan biaya yang ditanggung oleh korban secara diam-diam.
Malware ni juga mengunduh satu set modul yang digunakan untuk memata-matai, ekstrasi data, dan pencurian kredensial. Selain itu, Smominru mencoba untuk menyebar lebih jauh ke dalam jaringan untuk menginfeksi sebanyak mungkin sistem yang ada.
Namun, botnet bersifat sangat kompetitif dan tidak segan untuk memusnahkan seluruh “saingannya” di komputer yang terinfeksi. Dengan kata lain, Smominru tidak hanya menonaktifkan dan memblokir aktivitas berbahaya lainnya yang berjalan pada perangkat yang ditargetkan, tetapi juga mencegah infeksi lebih lanjut oleh para saingannya.
Infrastruktur Serangan
Botnet mengandalkan lebih dari 20 peladen khusus, sebagian besar berlokasi di AS, meskipun beberapa lainnya bertempat di Malaysia dan Bulgaria.
Infrastruktur serangan Smominru yang didistribusikan secara luas, kompleks, dan sangat fleksibel membuatnya tidak mungkin dengan mudah dikalahkan, sehingga tampaknya botnet akan aktif selama beberapa waktu ke depan.
Cara Melindungi Jaringan, Komputer, dan Data
1. Perbarui sistem operasi dan perangkat lunak lainnya secara teratur.
2. Gunakan kata sandi kuat. Pengelola kata sandi yang andal membantu Anda membuat, mengelola, dan secara otomatis memperoleh serta memasukkan kata sandi. Itu akan melindungi Anda dari serangan brute-force.
3. Gunakan solusi keamanan yang andal.