{"id":12382,"date":"2019-10-07T12:00:10","date_gmt":"2019-10-07T12:00:10","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12382"},"modified":"2019-11-22T08:46:18","modified_gmt":"2019-11-22T08:46:18","slug":"smominru-botnet-eternalblue","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/smominru-botnet-eternalblue\/12382\/","title":{"rendered":"Botnet Smominru : fonctionnement de ce terrible logiciel malveillant"},"content":{"rendered":"

Selon une \u00e9tude disponible publiquement<\/a>, le botnet Smominru, actif depuis 2017, est devenu l\u2019un des logiciels malveillants<\/strong> les plus rapides \u00e0 se r\u00e9pandre sur les ordinateurs. En 2019, seulement au cours du mois d\u2019ao\u00fbt, il a infect\u00e9 90 000 ordinateurs \u00e0 travers le monde, avec une moyenne de plus de 4 700 infections par jour. La majorit\u00e9 des attaques ont eu lieu en Chine, \u00e0 Ta\u00efwan, en Russie, au Br\u00e9sil et aux \u00c9tats-Unis. Cependant, ce logiciel malveillant a d\u2019autres pays en ligne de mire, comme par exemple l\u2019Italie, o\u00f9 Smominru<\/strong> a infect\u00e9 65 serveurs, ce qui repr\u00e9sente le plus grand r\u00e9seau.<\/p>\n

Comment le botnet Smominru se propage<\/h2>\n

Les cybercriminels impliqu\u00e9s ne sont pas exigeants lorsqu\u2019il s\u2019agit de choisir leurs victimes, puisque cette attaque en ligne touche autant les \u00e9tudiants que les professionnels de sant\u00e9. Toutefois, il y a un d\u00e9tail important \u00e0 prendre en compte : environ 85 % des infections provoqu\u00e9es par ce logiciel malveillant ont touch\u00e9 les syst\u00e8mes Windows 7 et Windows Server 2008. Le pourcentage restant inclut Windows Server 2012, Windows XP et Windows Server 2003.
\nPr\u00e8s d\u2019un quart des appareils ont de nouveau \u00e9t\u00e9 infect\u00e9s apr\u00e8s que les utilisateurs aient supprim\u00e9 le botnet Smominru<\/strong>. En d\u2019autres termes, certaines victimes ont nettoy\u00e9 leur syst\u00e8me mais ignoraient l\u2019origine de l\u2019infection.
\nCeci nous pousse \u00e0 nous demander quelle est la principale raison. \u00c0 vrai dire, le botnet<\/strong> utilise plusieurs m\u00e9thodes de propagation. Cependant, il infecte principalement les syst\u00e8mes de l\u2019une de ces deux fa\u00e7ons : soit en for\u00e7ant les informations d\u2019identification faibles des diff\u00e9rents services Windows, soit, plus commun\u00e9ment, en se servant du tristement c\u00e9l\u00e8bre exploit EternalBlue.
\nBien que Microsoft ait corrig\u00e9 la vuln\u00e9rabilit\u00e9 des exploits EternalBlue, qui ont permis les \u00e9pid\u00e9mies WannaCry<\/a> et NotPetya<\/a> en 2017, et ce m\u00eame sur les syst\u00e8mes qui ne sont plus fabriqu\u00e9s, de nombreuses entreprises ignorent tout simplement les mises \u00e0 jour.<\/p>\n

Le botnet Smominru en action<\/h3>\n

Apr\u00e8s avoir corrompu le syst\u00e8me, le logiciel malveillant Smominru cr\u00e9e un nouvel utilisateur qui poss\u00e8de les privil\u00e8ges administrateur, appel\u00e9 admin$, puis t\u00e9l\u00e9charge toute une s\u00e9rie de charges utiles malveillantes<\/strong>. L\u2019objectif principal de cette cyberattaque est de discr\u00e8tement utiliser les ordinateurs infect\u00e9s pour miner de la cryptomonnaie (dans ce cas, Monero) aux frais de la victime.<\/p>\n

Ce n\u2019est pas tout : le logiciel malveillant t\u00e9l\u00e9charge \u00e9galement une s\u00e9rie de modules dans le but d\u2019espionner l\u2019utilisateur, d\u2019exfiltrer des donn\u00e9es et de voler des informations d\u2019identification. En plus de tout cela, lorsque Smominru gagne du terrain, il tente de se r\u00e9pandre dans le r\u00e9seau pour infecter le plus de syst\u00e8mes possible.<\/p>\n

Il y a un d\u00e9tail int\u00e9ressant qu\u2019il convient de mentionner : le botnet Smominru est intens\u00e9ment comp\u00e9titif et d\u00e9truit tout rival pr\u00e9sent sur l\u2019ordinateur infect\u00e9. Cela veut dire que non seulement il d\u00e9sactive et bloque toutes les autres activit\u00e9s malveillantes fonctionnant sur le dispositif vis\u00e9, mais qu\u2019il emp\u00eache aussi les comp\u00e9titeurs d\u2019infecter le syst\u00e8me sur lequel il est d\u00e9j\u00e0 pr\u00e9sent.<\/p>\n

Infrastructure de l\u2019attaque<\/h3>\n

Le botnet<\/strong> repose sur un peu plus de 20 serveurs sp\u00e9cialis\u00e9s, principalement situ\u00e9s aux \u00c9tats-Unis, bien que certains soient h\u00e9berg\u00e9s en Malaisie et en Bulgarie. L\u2019infrastructure de la cyberattaque Smominru est amplement r\u00e9pandue, complexe et tr\u00e8s flexible, ce qui complique sa mise hors service. Le botnet sera donc actif pendant un certain temps.<\/p>\n

Voici comment prot\u00e9ger votre r\u00e9seau, votre ordinateur et vos donn\u00e9es du logiciel malveillant Smominru :
\n\u2013 Mettez r\u00e9guli\u00e8rement \u00e0 jour vos syst\u00e8mes d\u2019exploitation et autres logiciels.
\n\u2013 Utilisez des mots de passe forts<\/a>. Un administrateur de mots de passe<\/a> fiable vous aide \u00e0 cr\u00e9er, g\u00e9rer, r\u00e9cup\u00e9rer et entrer automatiquement votre mot de passe. Cela vous prot\u00e9gera des attaques par force brute.
\n\u2013 Utilisez une solution de s\u00e9curit\u00e9<\/a> fiable.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Le botnet se propage g\u00e9n\u00e9ralement \u00e0 travers EternalBlue, la m\u00eame vuln\u00e9rabilit\u00e9 qui avait rendu les \u00e9pid\u00e9mies WannaCry et NotPetya possibles.<\/p>\n","protected":false},"author":2508,"featured_media":12383,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[153,3714,3713,3715,2288,3712,298,2184,23],"class_list":{"0":"post-12382","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-botnet","10":"tag-crypto-mineurs","11":"tag-eternalblue","12":"tag-informations-didentification","13":"tag-notpetya","14":"tag-smominru","15":"tag-vol-de-donnees","16":"tag-wannacry","17":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smominru-botnet-eternalblue\/12382\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smominru-botnet-eternalblue\/16750\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smominru-botnet-eternalblue\/14138\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smominru-botnet-eternalblue\/18737\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smominru-botnet-eternalblue\/16784\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smominru-botnet-eternalblue\/15517\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smominru-botnet-eternalblue\/19411\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smominru-botnet-eternalblue\/18089\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smominru-botnet-eternalblue\/23752\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smominru-botnet-eternalblue\/6526\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smominru-botnet-eternalblue\/28862\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smominru-botnet-eternalblue\/12457\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smominru-botnet-eternalblue\/11286\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smominru-botnet-eternalblue\/20327\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smominru-botnet-eternalblue\/24303\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smominru-botnet-eternalblue\/24692\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smominru-botnet-eternalblue\/19211\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smominru-botnet-eternalblue\/23519\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smominru-botnet-eternalblue\/23369\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/windows\/","name":"windows"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12382","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2508"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=12382"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12382\/revisions"}],"predecessor-version":[{"id":12604,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12382\/revisions\/12604"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/12383"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=12382"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=12382"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=12382"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}