Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Mag 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 2
Meglio essere colpiti da un trojan o un ransomware? Probabilmente è questione di gusti. La domanda, però, andrebbe fatta a tutti quei proprietari di PC non aggiornati che hanno scampato l’attacco di WannaCry solo perché… avevano già un malware su computer.
A segnalare il paradosso è Kafeine, un ricercatore di sicurezza che ha individuato una campagna di distribuzione di malware che ha sfruttato la stessa vulnerabilità usata da WannaCry per diffondersi e che è diventata di pubblico dominio dopo il rilascio su Internet dei tool dell’NSA da parte del gruppo hacker degli Shadow Brokers.
Come spiega Kafeine, il malware in questione si chiama Adylkuzz ed è stato diffuso via Internet utilizzando due strumenti in uso agli 007 americani: EternalBlue e DoublePulsar, di cui era stato registrato un uso massiccio già all’indomani della loro pubblicazione sul Web
Adylkuzz, in realtà, non è particolarmente dannoso. Si tratta infatti di un miner, pensato per sfruttare la potenza di calcolo del computer compromesso per ottenere Monero, una cripto-valuta (il cui simbolo è XMR) simile a Bitcoin.
La logica è semplice: l’autore del malware, in pratica, “ruba” la capacità di calcolo dei computer infetti e la usa per eseguire i calcoli che gli permettono di creare gli XMR che poi vengono accreditati sui suoi conti.
Stando a quanto riporta il ricercatore, Adylkuzz avrebbe come unici effetti dannosi quelli di impedire l’accesso alle cartelle condivise e di impattare (in qualche caso pesantemente) sulle prestazioni dei computer infetti.
Il miner, però, esegue anche un’altra operazione: chiude la porta 445 del computer disattivando di fatto il famigerato Server Message Block, cioè il componente che consente l’installazione di WannaCry.
L’accorgimento, molto probabilmente, ha lo scopo di impedire che qualcun altro sfrutti la medesima vulnerabilità per infettare con un altro malware la macchina, bloccando Adylkuzz.
Insomma: la diffusione della botnet ha avuto come effetto collaterale quello di ridurre la superficie di attacco e contenere in qualche modo la diffusione di WannaCry.
Kafeine, nelle sue indagini, ha anche analizzato i portafogli Monero collegati alla botnet di Adylkuzz, che stando a quanto il ricercatore ha scoperto sarebbe composta da numerosi server Command and Control a cui rispondono migliaia di PC infetti.
E qui arriva anche un’altra piccola sorpresa: a giudicare dal “saldo” nei conti Monero collegati alla botnet, è probabile che l’autore di Adylkuzz abbia guadagnato molto più dei cyber-criminali che hanno seminato il panico con WannaCry.
Sui conti individuati, infatti, sono registrati pagamenti per circa 38.000 euro. Nei conti di WannaCry poco più di 60.000. Secondo Kafeine, però, i conti collegati ad Adylkuzz potrebbero essere decine e i guadagni complessivi del cyber-criminale che li controlla decisamente più elevati.
Lug 29, 2024 0
Ott 27, 2023 0
Mar 27, 2023 0
Feb 07, 2023 0
Dic 04, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Dic 02, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...
2 thoughts on “WannaCry è stato “contenuto” da un’altra botnet”