Jakarta, Cyberthreat.id – Aktif sejak 2017, Smominru kini menjadi salah satu malware komputer yang paling cepat menyebar, demikian tulis Kaspersky Lab dalam siaran pers yang diterima, Rabu (9 Oktober 2019).

Pada 2019, selama Agustus saja, malware tersebut menginfeksi sebanyak 90.000 mesin di seluruh dunia dengan tingkat infeksi hingga 4.700 komputer per hari.

China, Taiwan, Rusia, Brasil, dan Amerika Serikat adalah yang paling banyak menghadapi serangan. Di Eropa, tulis Kaspersky jaringan terbesar yang ditargetkan Smominru adalah Italia dengan 65 host telah terinfeksi.

Menurut analisis Kaspersky, penjahat siber tersebut tidak menargetkan khusus calon korban, tapi serangan itu cenderung pada universitas hingga penyedia layanan kesehatan.

“Namun, satu hal yang sangat konsisten sekitar 85 persen infeksi terjadi pada sistem Windows 7 dan Windows Server 2008,” tulis Kaspersky.

Sisanya, menyerang pada Windows Server 2012, Windows XP, dan Windows Server 2003.

Apa akar penyebabnya?

Kaspersky berkesimpulan ini dilakukan oleh botnet. Mereka menggunakan beberapa metode untuk melakukan penyebaran, tapi yang paling utama menginfeksi sistem dengan menggunakan salah satu dari dua cara: brute-forcing atau lebih umum dengan mengandalkan eksploitasi EternalBlue.

Meski Microsoft telah lama menambal kerentanan eksploitasi EternalBlue, yang memungkinkan wabah ransomware WannaCry dan NotPetya menyebar, masih banyak perusahaan yang mengabaikan untuk melakukan pembaruan.

Kaspersky mengatakan, setelah menginfeksi sistem, Smominru menciptakan pengguna baru yang disebut sebagai admin $. Dengan hak istimewa admin pada sistem tersebut, malware dapat mengunduh sejumlah muatan berbahaya.

“Tujuan yang paling jelas adalah untuk secara diam-diam menggunakan komputer yang terinfeksi untuk menambang cryptocurrency (jenis Monero) dengan biaya yang ditanggung oleh korban,” tulis Kaspersky.

Tidak sampai di situ, malware tersebut juga mengunduh satu set modul yang digunakan untuk memata-matai, ekstrasi data, dan pencurian kredensial.

Selain itu, begitu Smominru memperoleh pijakan, Smominru mencoba untuk menyebarkan lebih jauh ke dalam jaringan untuk menginfeksi sebanyak mungkin sistem yang ada.

“Yang menarik botnet sangat kompetitif dan tidak segan untuk memusnahkan seluruh rivalnya di komputer yang terinfeksi,” tulis Kaspersky. Dengan kata lain, botnet tersebut perang antarsesama peretas lain yang ingin menginfeksi.

Kaspersky mengatakan, botnet Smominru mengandalkan lebih dari 20 server khusus, sebagian besar berlokasi di AS, meskipun beberapa di-host di Malaysia dan Bulgaria.

Infrastruktur serangan Smominru yang didistribusikan secara luas, kompleks, dan sangat fleksibel membuatnya tidak mungkin dengan mudah dikalahkan.

“Tampaknya botnet akan aktif selama beberapa waktu ke depan,” tulis Kaspersky.

Berikut ini cara melindungi jaringan dan data dari Smominru:

• Perbarui sistem operasi dan perangkat lunak lainnya secara teratur.
• Gunakan kata sandi yang kuat. Pengelola kata sandi yang andal membantu Anda membuat, mengelola, dan secara otomatis memperoleh serta memasukkan kata sandi. Itu akan melindungi Anda dari serangan brute-force.
• Gunakan solusi keamanan yang andal.