Aggiornamenti recenti Marzo 29th, 2024 9:00 AM
Mag 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 2
Meglio essere colpiti da un trojan o un ransomware? Probabilmente è questione di gusti. La domanda, però, andrebbe fatta a tutti quei proprietari di PC non aggiornati che hanno scampato l’attacco di WannaCry solo perché… avevano già un malware su computer.
A segnalare il paradosso è Kafeine, un ricercatore di sicurezza che ha individuato una campagna di distribuzione di malware che ha sfruttato la stessa vulnerabilità usata da WannaCry per diffondersi e che è diventata di pubblico dominio dopo il rilascio su Internet dei tool dell’NSA da parte del gruppo hacker degli Shadow Brokers.
Come spiega Kafeine, il malware in questione si chiama Adylkuzz ed è stato diffuso via Internet utilizzando due strumenti in uso agli 007 americani: EternalBlue e DoublePulsar, di cui era stato registrato un uso massiccio già all’indomani della loro pubblicazione sul Web
Adylkuzz, in realtà, non è particolarmente dannoso. Si tratta infatti di un miner, pensato per sfruttare la potenza di calcolo del computer compromesso per ottenere Monero, una cripto-valuta (il cui simbolo è XMR) simile a Bitcoin.
La logica è semplice: l’autore del malware, in pratica, “ruba” la capacità di calcolo dei computer infetti e la usa per eseguire i calcoli che gli permettono di creare gli XMR che poi vengono accreditati sui suoi conti.
Stando a quanto riporta il ricercatore, Adylkuzz avrebbe come unici effetti dannosi quelli di impedire l’accesso alle cartelle condivise e di impattare (in qualche caso pesantemente) sulle prestazioni dei computer infetti.
Il miner, però, esegue anche un’altra operazione: chiude la porta 445 del computer disattivando di fatto il famigerato Server Message Block, cioè il componente che consente l’installazione di WannaCry.
L’accorgimento, molto probabilmente, ha lo scopo di impedire che qualcun altro sfrutti la medesima vulnerabilità per infettare con un altro malware la macchina, bloccando Adylkuzz.
Insomma: la diffusione della botnet ha avuto come effetto collaterale quello di ridurre la superficie di attacco e contenere in qualche modo la diffusione di WannaCry.
Kafeine, nelle sue indagini, ha anche analizzato i portafogli Monero collegati alla botnet di Adylkuzz, che stando a quanto il ricercatore ha scoperto sarebbe composta da numerosi server Command and Control a cui rispondono migliaia di PC infetti.
E qui arriva anche un’altra piccola sorpresa: a giudicare dal “saldo” nei conti Monero collegati alla botnet, è probabile che l’autore di Adylkuzz abbia guadagnato molto più dei cyber-criminali che hanno seminato il panico con WannaCry.
Sui conti individuati, infatti, sono registrati pagamenti per circa 38.000 euro. Nei conti di WannaCry poco più di 60.000. Secondo Kafeine, però, i conti collegati ad Adylkuzz potrebbero essere decine e i guadagni complessivi del cyber-criminale che li controlla decisamente più elevati.
Ott 27, 2023 0
Mar 27, 2023 0
Feb 07, 2023 0
Gen 04, 2023 0
Mar 29, 2024 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 29, 2024 0
Le aziende hanno compreso l’importanza della...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...
2 thoughts on “WannaCry è stato “contenuto” da un’altra botnet”