In der digitalen Welt von heute stellt Cyberkriminalität eine immer größere Bedrohung dar – und Smominru ist ein Paradebeispiel dafür, wie sich Angriffe weiterentwickeln, um noch effektiver und gefährlicher zu werden. Die Smominru-Botnet-Kampagne hat bislang über eine halbe Million Rechner weltweit in ihrem Bann. Die Angreifer nutzen diese gekaperten Systeme, um heimlich Kryptowährungen wie Monero zu minen, während sie zeitgleich eine aggressive Datenraubstrategie verfolgen. Dieses Vorgehen zeigt eine neue Dimension in der dunklen Welt des Cybercrime auf, bei der Cyberkriminelle nicht mehr nur auf den reinen Ertrag durch Mining setzen, sondern die entwendeten Zugangsdaten gewinnbringend im Dark Web veräußern – das sogenannte „Access Mining“ hat Einzug gehalten und stellt einen beängstigenden Trend dar. Das Botnet agiert seit mindestens zwei Jahren und verteilt sich hauptsächlich durch Ausnutzung der bekannten EternalBlue-Schwachstelle, die im Jahr 2017 öffentlich wurde und bereits in großen Angriffen wie WannaCry verwendet wurde.
Diese veraltete Sicherheitslücke wird von Smominru ausgenutzt, um in Netzwerke einzudringen und Systeme mit Schadsoftware zu infizieren. Die Zielgruppe sind vor allem Systeme im asiatisch-pazifischen Raum, die oftmals aufgrund mangelnder Sicherheitsupdates oder schwacher Passwörter leicht angreifbar sind. Die Schadsoftware von Smominru setzt auf einen, maßgeschneiderten, unwiderstehlichen Minersoftware-Client namens XMRig, der speziell für das Mining der Kryptowährung Monero optimiert wurde. Monero gilt als besonders attraktiv für Cyberkriminelle, da es durch hohe Anonymität besticht und dadurch schwer zurückzuverfolgen ist. Das Mining ist für die Betroffenen nicht nur eine Sicherheitsproblem, da ihre Systeme stark ausgelastet werden und langsamer arbeiten, sondern führt auch zu erheblichen Stromkosten und Mehrbelastung der Hardware.
Doch Smominru beschränkt sich nicht auf passives Mining. Die Hacker haben die Schadsoftware mit einem Remote Access Trojan (RAT) sowie weiteren Datenraubmodulen ausgestattet. Diese Komponenten erlauben das gezielte Ausspähen vertraulicher Informationen, insbesondere Zugriffsdaten wie Passwörter und Systemdetails, die anschließend entweder über eigene Command-&-Control-Server oder kompromittierte FTP-Dienste an die Täter übermittelt werden. Mit diesem mehrstufigen Angriffsszenario entsteht ein umfassendes Cybercrime-Ökosystem, das gleich mehrere Ertragsquellen für die Angreifer erschließt. Der Begriff „Access Mining“ verdeutlicht die neue, kriminelle Geschäftsstrategie: Während Miner für gewöhnlich nur auf den Profit durch Kryptowährungs-Mining setzen, kombiniert Smominru hierbei das Mining mit dem gewinnbringenden Verkauf von gehackten Systemzugängen.
Im Dark Web werden diese Zugänge zu Preisen verkauft, die im Vergleich zu den Kosten neu eingerichteter Systeme äußerst günstig sind und Hackern die Möglichkeit bieten, kompromittierte Rechner für weitere Cyberattacken zu verwenden – sei es für Spam-Kampagnen, den Aufbau weiterer Botnets oder gezielte Angriffe auf Unternehmen. Diese Strategie hat erheblichen Einfluss auf die Art und Weise, wie Unternehmen und Privatpersonen die Sicherheit ihrer IT-Infrastruktur betrachten müssen. Auch wenn vermeintlich ältere Schwachstellen wie EternalBlue ausgenutzt werden, reichen die gewohnten Sicherheitsmaßnahmen oft nicht aus. Die Verknüpfung von Mining-Elementen mit Remote-Access-Trojanern zeigt, wie komplex und vielschichtig moderne Malware geworden ist und unterstreicht die Notwendigkeit einer ganzheitlichen Cybersecurity-Strategie. Darüber hinaus verweist die Verbindung von Smominru zu anderen bekannten Botnets wie MyKings auf die zunehmende Professionalisierung in der Cyberkriminalität.
Die Nutzung gleicher Domain-Registrar-Informationen und ähnlicher Infrastruktur zeugt von der engen Verzahnung selbst unterschiedlicher Malware-Kampagnen. Diese Verknüpfungen legen nahe, dass eine kleine Gruppe von Hackern oder sogar staatlich unterstützte Akteure hinter den Angriffen stecken könnten, die mit hochentwickelten Werkzeugen operieren. Der finanzielle Anreiz für Angreifer ist hierbei immens: Während ein kompromittierter Server im sogenannten „Access Marketplace“ für wenige Dollar zu haben ist, steigert die Kombination aus Mining-Erträgen und Datendiebstahl die Gesamtprofite erheblich. So werden nicht nur umgerechnet mehrere tausend US-Dollar allein durch die Monero-Mining-Aktivitäten generiert, sondern auch durch den Verkauf von Zugangsdaten neue Einkommensströme erschlossen, was dieses Geschäftsmodell so lukrativ macht. Unternehmen und Einzelpersonen sollten solche komplexen Bedrohungen nicht unterschätzen.
Nur durch regelmäßige Updates der Systeme, die Verwendung von starken, einzigartigen Passwörtern und den Einsatz moderner Sicherheitslösungen können Netzwerke gegen derartige Angriffe gewappnet werden. Gerade die Absicherung von Servern, die Zugang zu sensiblen Informationen bieten, sowie das Monitoring auf untypische Systemauslastungen, können wertvolle Hinweise auf eine mögliche Infektion liefern. Die rasante Entwicklung von Malware-Angriffen wie Smominru zeigt eindrucksvoll, wie Cyberkriminelle Kreativität und technische Expertise kombinieren, um die Potenziale des Internets zu monetarisieren. Dabei schrecken sie nicht davor zurück, Globalisierung und Digitalisierung auszunutzen, um möglichst viele Rechner gleichzeitig zu kompromittieren und in ihren Dienst zu stellen. Zusammenfassend verdeutlicht die Smominru-Kampagne das Problem der heutigen Cyberkriminalität: Sie gestaltet sich immer mehr als ein komplexes, vielschichtiges Geschäftsmodell, bei dem die reine Monetarisierung des Krypto-Minings nur ein Baustein ist.
