Cela fait maintenant plus de deux ans que les utilisateurs de Windows ont entendu parler de l’exploit informatique EternalBlue, développé par la NSA (National Security Agency). Le ransomware « WannaCry » s’était servi d’une faille d’un protocole Windows et avait touché des utilisateurs du monde entier. Il semblerait bien qu’EternalBlue existe toujours aujourd’hui, exploitant des logiciels malveillants à tour de bras.

Un botnet (ou réseau de bots informatiques) appelé Smominru est actif depuis 2017 et cible les appareils Windows grâce à une combinaison du ver informatique de l’exploit EternalBlue et d’attaques brutales. La Threat Analysis Unit (TAU) de la société de cybersécurité Carbon Black a publié un avis de menace concernant Smominru le 12 août dernier. Le document explique que la campagne de minage de cryptomonnaies du botnet a évolué pour intégrer des nouvelles techniques d’attaques, telles que LOLBins, utilisé à des fins dévastatrices lors de la dernière attaque Windows par le malware Nodersok, qui se cache dans les « webapps ». Smominru déploie également d’autres techniques d’attaques variées, au point de devenir aujourd’hui une menace réelle pour votre réseau.


Si la NSA n’a pas prié les utilisateurs d’appareils Windows de les mettre à jour, comme elle avait pu le faire après le récent exploit BlueKeep, cela ne veut pas dire que Smominru n’est pas déjà répandu à l’échelle mondiale. Dans des pays comme le Brésil, la Chine, la Russie, Taïwan ou encore les États-Unis, des milliers d’appareils Windows sont vulnérables. Mais c’est le taux d’infection lui-même qui est véritablement inquiétant. La société de sécurité Kaspersky a publié un avertissement pour les utilisateurs de Windows qui n’ont toujours pas patché leur système contre l’exploit EternalBlue. Microsoft a pourtant publié le correctif en mars 2017. Les utilisateurs de Windows sont donc invités à consulter le guide de mises à jour de Microsoft, afin de vérifier que la mise à jour MS17-010 a bien été installée sur leur appareil.

Pourquoi toute cette agitation ? Le taux d’infection des appareils est véritablement stupéfiant et préoccupe les experts en sécurité informatique. Un récent rapport du Guardicore Labs a révélé que Smominru infectait les systèmes Windows à raison de 4 700 machines par jour.

Une fois que le ver du botnet s’infiltre dans un système, il se déplace où il peut et infecte autant d’appareils que possible dans une organisation. En un mois seulement, quelque 90 000 appareils infectés ont été compromis. Windows 7 et Windows Server 2008 représentent la majorité des infections Windows, avec environ 85 % des appareils compromis qui tournaient sous l’un ou l’autre des systèmes d’exploitation. Mais les utilisateurs de Windows Server 2012, Windows XP et Windows Server 2003 sont également concernés.

Mais le plus inquiétant, c’est que ce rapport a révélé que 25 % des hôtes compromis ont été infectés plus d’une fois, ce qui signifie que les victimes ne s’occupent pas de corriger la racine des attaques : la vulnérabilité à EternalBlue. Les systèmes d’exploitation les plus vulnérables soient ceux qui n’ont pas été mis à jour depuis longtemps, ou qui arrivent en fin de vie, mais leurs utilisateurs sont tout de même vivement encouragés à vérifier que la mise à jour correspondante a été effectuée, du fait de la gravité apparente de la menace.

Étant donné que Smominru tire également profit des mots de passe peu sécurisés pour accéder aux systèmes, il est recommandé aux utilisateurs de vérifier leur mot de passe pour s’assurer qu’ils sont suffisamment sécurisés. Lorsque les systèmes d’exploitation ne sont pas compatibles avec les mises à jour logicielles les plus récentes, il est conseillé aux utilisateurs de s’assurer que des mesures d’atténuation supplémentaires sont installées, telles que la détection des menaces des flux de trafic Internet en temps réel ou la micro segmentation du réseau le cas échéant.