Das Smominru Monero Mining Botnetz basiert auf der WannaCry-Sicherheitslücke EternalBlue, die ursprünglich der US-amerikanische Militärgeheimdienst NSA entwickelt hat. Im Sommer 2017 wurden nach der Bekanntmachung durch die Hackergruppe The Shadow Brokers unzählige Computer von Schadsoftware befallen, die die Lücke der NSA ausgenutzt hat. Damit ist das Problem leider hausgemacht.

Als Botnetz wird eine Reihe infizierter Computer bezeichnet, die von einer zentralen Stelle gesteuert werden. Die gekaperten PCs können nach der Übernahme dazu missbraucht werden, die persönlichen Daten der Eigentümer abzugreifen, darüber Spam-Mails zu verschicken oder Webseiten mit unzähligen Seitenanfragen lahmzulegen, was gemeinhin als DDoS-Angriff bezeichnet wird.

Wir haben bereits letztes Jahr ausführlich über die vielfältige Ausnutzung von JavaScript-Minern und anderer Schadsoftware auf Desktop-PCs und Smartphones berichtet, bei der die CPU der Computer ungewollt zu Mining-Recheneinheiten umfunktioniert werden. Smominru hat nach seriösen Schätzungen weltweit über 526.000 Computer befallen, darunter befinden sich auch zahlreiche Webserver. Die höchste Infektionsrate fand in den Ländern Russland, Indien und Taiwan statt.

Monero Miner als Gefahr für Unternehmen

Die anonymen Betreiber haben auf alle Gegenmaßnahmen der Sicherheitsforscher sehr zeitnah und flexibel reagiert, weswegen Smominru noch immer aktiv ist. Der Bitcoin spielt nach Aussage mehrerer Sicherheitsforscher in diesem Sektor keine Rolle mehr. Der Rechenaufwand beim Schürfen sei für reguläre PCs und Webserver viel zu groß und die Ausbeute zu gering. Die Kryptowährung Monero mit Fokus auf den Datenschutz sei hingegen weitaus interessanter für derartige Anwendungen. Nach Ansicht der IT Securityfirma Proofpoint, die sehr früh über Smominru berichtet hat, werden derartige Botnetze künftig noch größer werden und dürften in noch kürzeren Abständen auftreten.

Als Helfershelfer trat dabei mal wieder der US-amerikanische Geheimdienst NSA auf. Deren Programmierer haben in den letzten Jahren zu eigenen Zwecken eine Software entwickelt, womit sie eine zuvor unbekannte Windows-Sicherheitslücke ausnutzen konnten, um sich vollen Zugriff auf den Zielrechnern zu verschaffen. Bis die meisten Windows-Installationen einem Update unterzogen werden konnten, war es bereits zu spät.

Ein vergleichbares Botnetz namens WannaMine sorgte sogar für Ausfälle der Datenverarbeitung in mehreren Unternehmen, weil sich die Computer infolge des Minings überhitzt haben, was letztlich zu deren Zerstörung führte. Bisher sollen aufgrund der Infektion mit WannaMine weltweit rund einhundert Computer ausgefallen sein, Tendenz weiter steigend. WannaMine und Smominru konnten zum Zeitpunkt der Infektion verhindern, von einer Antivirensoftware erkannt zu werden. Im Fall von WannaMine war für die Übernahme der PCs schon der Besuch einer zuvor präparierten Webseite oder das Öffnen einer verseuchten E-Mail ausreichend.