Aggiornamenti recenti Gennaio 27th, 2026 5:27 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- PackageGate: trovati sei bug zero-day nei package manager, ma NPM non interviene
- C’è Sandworm dietro l’attacco contro il settore energetico polacco
- Zendesk, sfruttato il sistema di ticketing per una campagna di spam massiva
- Sfruttate 37 vulnerabilità zero-day nel primo giorno di Pwn2Own Automotive
- StackWarp: scoperta una nuova vulnerabilità nei processori AMD
I pirati sfruttano la vulnerabilità di Samba per minare criptovaluta
Qualcuno lo ha battezzato “SambaCry”. Il trojan si diffonde usando la stessa falla sfruttata da WannaCry e usa i server Linux per generare Monero. Per ora…
C’è un aspetto della sicurezza informatica che è tutto sommato rassicurante: le previsioni dei ricercatori si avverano quasi sistematicamente. Ogni volta che viene individuata una vulnerabilità è solo quesitone di giorni prima che qualche pirata informatico riesca a sfruttarla per fare danni.
A confermare la regola, questa volta, è SambaCry, un trojan individuato dai ricercatori di Kaspersky e che sfrutta una falla di sicurezza di Samba, la piattaforma open source che offre funzioni di condivisione di file e stampanti a livello di rete locale.
La vulnerabilità (CVE-2017-7494) è stata individuata alla fine di maggio e sfrutta una falla nel Server Message Block esattamente come ha fatto WannaCry, il ransomware che il mese scorso ha colpito centinaia di migliaia di computer in tutto il mondo.
Meno di una settimana dopo (ma il report è stato pubblicato solo venerdì) Kaspersky ha individuato SambaCry. Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali.
Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. Il payload viene caricato sotto forma di un plugin per Samba che agisce con privilegi di super-utente ed è residente esclusivamente in memoria.
Il passo successivo prevede l’upload di due file distinti. Il primo è cblRWuoCc.so, che i ricercatori Kaspersky hanno ribattezzato con il nome di EternalMiner. Il suo compito è quello di installare un popolare software di mining chiamato cpuminer.
Il file cblRWuoCc.so si collega a Internet per scaricare e installare un popolare software dedicato al mining di criptovaluta.
Il programma, in pratica, sfrutta la potenza di calcolo della macchina infetta per generare Monero, una criptovaluta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali.
Stando a quanto riportato dai ricercatori Kaspersky, per il momento l’operazione non ha portato ai cyber-criminali grandi guadagni: nel wallet su cui vengono “caricati” gli XMR (la sigla delle monete di Monero – ndr) ci sarebbero al momento l’equivalente di 5.400 dollari.
Considerato che il trojan sarebbe attivo da almeno un mese, non si tratta di cifre entusiasmanti. Non è escluso, però, che i pirati informatici che hanno creato SambaCry trovino altri modi per guadagnare denaro dalla loro attività.
Ad aiutarli potrebbe essere INAebsGB.so, il secondo file che SambaCry carica sulla macchina infetta. Si tratta di una reverse shell, che consente loro di fare letteralmente quello che vogliono come scaricare ed eseguire codice in remoto o cancellare tutti i dati presenti sul server.
L’unica consolazione è che il numero di server vulnerabili all’attacco non è così elevato. Al momento dell’annuncio della vulnerabilità, i ricercatori di Rapid7 avevano individuato circa 100.000 server vulnerabili all’attacco. Dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, questo numero dovrebbe essersi drasticamente ridotto. Si spera…
Condividi l'articolo
Windows sotto attacco. Valanga di aggiornamenti, compreso XP
CertLock: ecco il trojan che tiene alla larga i software antivirus
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Il 64% delle app di terze parti accede a dati sensibili... Dall’ultima ricerca di Reflectiz, “The State of... -
Microsoft smantella RedVDS, rete globale di... Microsoft ha annunciato di aver smantellato RedVDS, una... -
Allarme password aziendali deboli: più del 40% è... Gli utenti aziendali utilizzano ancora password deboli,... -
Nel 2026 sempre più attacchi autonomi AI-driven e... Il mondo della cybersecurity si appresta a vivere un 2026... -
Kaspersky: così funziona il mercato del lavoro nel dark Il dark web non è più soltanto un luogo di scambio di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
PackageGate: trovati sei bug zero-day nei package manager,... La società di sicurezza Koi Security ha pubblicato una... -
C’è Sandworm dietro l’attacco contro il... I ricercatori di ESET hanno scoperto che il tentativo di... -
Zendesk, sfruttato il sistema di ticketing per una campagna... Zendesk, nota piattaforma di ticketing, sta venendo... -
Sfruttate 37 vulnerabilità zero-day nel primo giorno di... Dopo l’ultima edizione tenutasi in Irlanda lo scorso... -
StackWarp: scoperta una nuova vulnerabilità nei processori... I ricercatori del CISPA Helmholtz Center for Information...
Ransomware: la serie
No posts found.