Aggiornamenti recenti Giugno 30th, 2022 3:23 PM
Mag 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 2
Meglio essere colpiti da un trojan o un ransomware? Probabilmente è questione di gusti. La domanda, però, andrebbe fatta a tutti quei proprietari di PC non aggiornati che hanno scampato l’attacco di WannaCry solo perché… avevano già un malware su computer.
A segnalare il paradosso è Kafeine, un ricercatore di sicurezza che ha individuato una campagna di distribuzione di malware che ha sfruttato la stessa vulnerabilità usata da WannaCry per diffondersi e che è diventata di pubblico dominio dopo il rilascio su Internet dei tool dell’NSA da parte del gruppo hacker degli Shadow Brokers.
Come spiega Kafeine, il malware in questione si chiama Adylkuzz ed è stato diffuso via Internet utilizzando due strumenti in uso agli 007 americani: EternalBlue e DoublePulsar, di cui era stato registrato un uso massiccio già all’indomani della loro pubblicazione sul Web
Adylkuzz, in realtà, non è particolarmente dannoso. Si tratta infatti di un miner, pensato per sfruttare la potenza di calcolo del computer compromesso per ottenere Monero, una cripto-valuta (il cui simbolo è XMR) simile a Bitcoin.
Monero si sta affermando come alternativa “veramente anonima” a Bitcoin. Un XMR oggi viene scambiato per circa 24 euro.
La logica è semplice: l’autore del malware, in pratica, “ruba” la capacità di calcolo dei computer infetti e la usa per eseguire i calcoli che gli permettono di creare gli XMR che poi vengono accreditati sui suoi conti.
Stando a quanto riporta il ricercatore, Adylkuzz avrebbe come unici effetti dannosi quelli di impedire l’accesso alle cartelle condivise e di impattare (in qualche caso pesantemente) sulle prestazioni dei computer infetti.
Il miner, però, esegue anche un’altra operazione: chiude la porta 445 del computer disattivando di fatto il famigerato Server Message Block, cioè il componente che consente l’installazione di WannaCry.
L’accorgimento, molto probabilmente, ha lo scopo di impedire che qualcun altro sfrutti la medesima vulnerabilità per infettare con un altro malware la macchina, bloccando Adylkuzz.
Insomma: la diffusione della botnet ha avuto come effetto collaterale quello di ridurre la superficie di attacco e contenere in qualche modo la diffusione di WannaCry.
Kafeine, nelle sue indagini, ha anche analizzato i portafogli Monero collegati alla botnet di Adylkuzz, che stando a quanto il ricercatore ha scoperto sarebbe composta da numerosi server Command and Control a cui rispondono migliaia di PC infetti.
E qui arriva anche un’altra piccola sorpresa: a giudicare dal “saldo” nei conti Monero collegati alla botnet, è probabile che l’autore di Adylkuzz abbia guadagnato molto più dei cyber-criminali che hanno seminato il panico con WannaCry.
Sui conti individuati, infatti, sono registrati pagamenti per circa 38.000 euro. Nei conti di WannaCry poco più di 60.000. Secondo Kafeine, però, i conti collegati ad Adylkuzz potrebbero essere decine e i guadagni complessivi del cyber-criminale che li controlla decisamente più elevati.
Apr 08, 2022 0
Gen 21, 2022 0
Set 20, 2021 0
Lug 15, 2021 0
Giu 30, 2022 0
Giu 30, 2022 0
Giu 29, 2022 0
Giu 29, 2022 0
Mar 11, 2022 0
Il ransomware è un flagello che sta colpendo le aziende di...Mar 10, 2022 0
Il ransomware è una tipologia d’attacco di cui...Mar 09, 2022 0
Non c’è quasi utente di computer che non abbia sentito...Mar 08, 2022 0
Il ransomware è una vera e propria piaga...Ott 22, 2021 0
Il ruolo dei sistemi di tracciamento delle attività...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Giu 30, 2022 0
Queste librerie, molto utilizzate in progetti open source...Giu 30, 2022 0
Una vulnerabilità container-escape nei cluster Service...Giu 29, 2022 0
Il nuovo progetto Open Cloud Vulnerability & Security...Giu 29, 2022 0
Il gruppo di cybercriminali RansomHouse dichiara di aver...Giu 28, 2022 0
Il collettivo di hacker Killnet ha sferrato attacchi DDoS...Il gruppo di cybercriminali RansomHouse dichiara di aver violato la... Continua →
2 thoughts on “WannaCry è stato “contenuto” da un’altra botnet”