Récemment, des propagations massives ont été signalées sur le net et causées par le botnet « SMOMINRU » et ses nouvelles variantes. En effet, ce malware cible les systèmes Windows vulnérables via l’outil d’exploitation « EternalBlue » sur divers services, notamment MS-SQL, RDP, Telnet, SMB, RCP, etc.Dans sa phase de post-infection, SMOMINRU collecte les informations de la machine infectée (CPU, processus, mémoire, etc), vole les informations d'identification de la victime par le moyen d’un outil nommé Mimikatz, installe un module de cheval de Troie et de cryptomining et se propage à l'intérieur du réseau. En outre, Smominru a réussi d’infecter plus que 90 000 machines dans le monde avec un taux d'infection de 4 700 machines par jour.Pour se protéger face à cette menace, nous vous conseillons d’être vigilant et de suivre les mesures préventives suivantes :
- Scanner périodiquement votre réseau afin de déterminer les vulnérabilités existantes puis procéder à les corriger en installant les patchs correctifs depuis les sources officielles.
- Désactiver immédiatement tous les services que vous n’avez pas besoin.
- S’assurer de la robustesse des mots de passe des comptes utilisateurs et administrateurs dans vos systèmes et aussi vos équipements réseaux.
- Appliquer des règles de filtrage rigoureuses pour sécuriser l’administration de vos serveurs à distance.
- Blacklister les adresses IP 35.182.171.137, 54.255.141.50, 173.247.239.186, 66.117.6.174, 192.187.111.66, 23.88.160.137, 139.5.177.10, 139.5.177.19, 78.142.29.152, 79.124.78.127, 74.222.14.61, 74.222.14.94, 174.128.244.18, 174.128.248.10, 45.58.135.106, 70.39.124.66, 223.25.247.240, 173.208.139.170 et 173.208.172.202 et aussi les domaines « *.xyz » et « *.pw » .