Mining Botnetz Smominru - Windows Exploit für Kryptomining

Mithilfe der Smominru Malware haben Kryptominer eine große Menge Windows-Server infiziert, um die Währung Monero zu schürfen.

von Sara Petzold,
07.02.2018 14:20 Uhr

Nicht nur Grafikkarten lassen sich zum Mining zweckentfremden, nun wurde ein riesiges Botnetz entdeckt, dass es vor allem auf Server abgesehen hat.Nicht nur Grafikkarten lassen sich zum Mining zweckentfremden, nun wurde ein riesiges Botnetz entdeckt, dass es vor allem auf Server abgesehen hat.

Trotz des kürzlichen Wertverlusts von Kryptowährungen ist das Mining immer noch lukrativ, vor allem wenn man vor kriminellen Methoden nicht zurückschreckt und sich fremde Hardware (und Stromversorgung) dafür zunutze macht. Aktuell macht ein Botnetz namens Smominru von sich reden, über das einige Miner weltweit Windows Server mit Malware infiziert haben, um die Rechenleistung der Server zum Schürfen der Kryptowährung Monero zu missbrauchen.

Über eine halbe Million befallene Nodes

Bereits Ende Januar 2018 veröffentlichte die Sicherheitsfirma Proofpoint einen detaillierten Bericht zu Smominru (via Golem). Demzufolge haben die Betreiber des Botnetzes bereits 8.900 Monero geschürft (laut aktuellem Kurs vom 07. Februar 2018 eine Summe von knapp zwei Millionen US-Dollar), bei einer Tagesrate von 24 Monero (derzeit etwa 5.150 US-Dollar). Den Minern kommt dabei vor allem die Leistungsfähigkeit der befallenen Windows-Server gegenüber normalen Desktop-Rechnern zugute.

Proofpoint beobachtet Smominru seit Ende Mai 2017 und hat festgestellt, dass der Miner den EternalBlue Exploit (CVE-2017-0144) ausnutzt, um Monero zu schürfen. Diese Sicherheitslücke verhalf bereits unter anderem der Ransomware WannaCry zu ihrem zweifelhaften Erfolg und nutzt einen Fehler im SMB-Netzwerkprotokoll von Windows aus.

Wer sich fragt, was eine Kryptowährung überhaupt ist, dem empfehlen wir unseren Übersichtsartikel: Krypto-Mining - Was ist das und wie funktioniert es?

Dem Bericht der Sicherheitsexperten zufolge nutzt Smominru für seine Attacken mindestens 25 Hosts, deren Infrastruktur offenbar von SharkTech stammt. Als Proofpoint zusammen mit Abuse.ch und der ShadowServer Foundation die Größe des Botnetzes analysierte, stellten sie fest, dass es derzeit mehr als 526.000 Windows-Hosts infiziert hat - der Großteil davon Windows-Server. Die meisten dieser Server sollen sich in Russland, Indien und Taiwan befinden.

Proofpoint kommt zu dem Schluss, dass das Interesse an Monero wegen des ressourcen-intensiven Bitcoin-Minings stark gestiegen sei: »Während Monero nicht länger effektiv auf Desktop Computern gefarmt werden kann, erweist sich ein dezentralisiertes Botnet wie das hier beschriebene als ziemlich lukrativ für seine Betreiber«, ergänzen die Experten. Entsprechend geht Proofpoint davon aus, dass Botnetze wie Smominru sich in Zukunft weiter verbreiten dürften.


Kommentare(5)

Nur angemeldete Benutzer können kommentieren und bewerten.

Sponsored

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen