Aggiornamenti recenti Dicembre 4th, 2024 9:00 AM
Giu 12, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0
C’è un aspetto della sicurezza informatica che è tutto sommato rassicurante: le previsioni dei ricercatori si avverano quasi sistematicamente. Ogni volta che viene individuata una vulnerabilità è solo quesitone di giorni prima che qualche pirata informatico riesca a sfruttarla per fare danni.
A confermare la regola, questa volta, è SambaCry, un trojan individuato dai ricercatori di Kaspersky e che sfrutta una falla di sicurezza di Samba, la piattaforma open source che offre funzioni di condivisione di file e stampanti a livello di rete locale.
La vulnerabilità (CVE-2017-7494) è stata individuata alla fine di maggio e sfrutta una falla nel Server Message Block esattamente come ha fatto WannaCry, il ransomware che il mese scorso ha colpito centinaia di migliaia di computer in tutto il mondo.
Meno di una settimana dopo (ma il report è stato pubblicato solo venerdì) Kaspersky ha individuato SambaCry. Il malware agisce in maniera estremamente metodica. Per prima cosa verifica la possibilità di accedere in modalità scrittura sul disco, copiando al suo interno un file di testo composto da 8 caratteri casuali.
Se il tentativo ha successo, SambaCry cancella il file e procede con l’attacco. Il payload viene caricato sotto forma di un plugin per Samba che agisce con privilegi di super-utente ed è residente esclusivamente in memoria.
Il passo successivo prevede l’upload di due file distinti. Il primo è cblRWuoCc.so, che i ricercatori Kaspersky hanno ribattezzato con il nome di EternalMiner. Il suo compito è quello di installare un popolare software di mining chiamato cpuminer.
Il programma, in pratica, sfrutta la potenza di calcolo della macchina infetta per generare Monero, una criptovaluta simile a Bitcoin che sta diventando molto popolare tra i cyber-criminali. Monero, infatti, ha caratteristiche tecniche che promettono di garantire l’assoluto anonimato nelle transazioni, rendendola una valuta ideale per operazioni illegali.
Stando a quanto riportato dai ricercatori Kaspersky, per il momento l’operazione non ha portato ai cyber-criminali grandi guadagni: nel wallet su cui vengono “caricati” gli XMR (la sigla delle monete di Monero – ndr) ci sarebbero al momento l’equivalente di 5.400 dollari.
Considerato che il trojan sarebbe attivo da almeno un mese, non si tratta di cifre entusiasmanti. Non è escluso, però, che i pirati informatici che hanno creato SambaCry trovino altri modi per guadagnare denaro dalla loro attività.
Ad aiutarli potrebbe essere INAebsGB.so, il secondo file che SambaCry carica sulla macchina infetta. Si tratta di una reverse shell, che consente loro di fare letteralmente quello che vogliono come scaricare ed eseguire codice in remoto o cancellare tutti i dati presenti sul server.
L’unica consolazione è che il numero di server vulnerabili all’attacco non è così elevato. Al momento dell’annuncio della vulnerabilità, i ricercatori di Rapid7 avevano individuato circa 100.000 server vulnerabili all’attacco. Dopo l’annuncio e la pubblicazione degli aggiornamenti che correggono il bug, questo numero dovrebbe essersi drasticamente ridotto. Si spera…
Nov 19, 2024 0
Nov 13, 2024 0
Nov 11, 2024 0
Ott 16, 2024 0
Dic 04, 2024 0
Dic 03, 2024 0
Dic 02, 2024 0
Dic 02, 2024 0
Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per le...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Nov 27, 2024 0
Ingecom, fondata nel 1996 a Bilbao, è un distributore a...Nov 25, 2024 0
Di recente CISA ha pubblicato la classifica delle...Nov 25, 2024 0
Ora che l’intelligenza artificiale è entrata a far...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Dic 04, 2024 0
Le festività e gli weekend sono i periodi peggiori per...Dic 03, 2024 0
I ricercatori di 0patch, piattaforma per la distribuzione...Dic 02, 2024 0
L’Italia continua a essere uno dei Paesi più colpiti...Dic 02, 2024 0
Nel corso di questa settimana, il CERT-AGID ha identificato...Nov 28, 2024 0
Le crescenti perdite finanziarie dovute ai cyber-attacchi...