Aggiornamenti recenti Febbraio 7th, 2023 4:20 PM
Set 26, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
Le prime valutazioni a seguito dell’attacco che ha usato CCleaner come vettore di attacco per diffondere un trojan erano decisamente troppo ottimistiche. L’attacco che ha coinvolto gli utenti che hanno scaricato CCleaner è decisamente più grave di quanto si pensasse.
Secondo gli esperti di sicurezza, infatti, il malware diffuso dai pirati potrebbe aver infettato la bellezza di 1.646.536 computer su cui è stato installato il software di manutenzione.
In un primo momento i ricercatori di Talos che hanno individuato l’attacco lo hanno classificato come un “tentativo riuscito a metà”. Il malware, infatti, prevede un attacco in due (o tre) fasi e il primo report degli analisti sembrava rassicurante: l’attacco era stato fermato al primo stadio.
Poi i primi dubbi, con un secondo report secondo il quale risultava che l’attacco fosse molto più complesso di quanto sembrasse in un primo momento e alcuni indizi che facevano pensare a un tentativo di colpire soltanto alcuni obiettivi specifici all’interno di aziende del settore dell’information Technology come Cisco, Microsoft e altri giganti dell’IT.
Insomma, a compromettere i sistemi di Piriform per inserire un trojan nei file di installazione di CCleaner sarebbero stati pirati di alto profilo, che avrebbero usato un malware decisamente complesso e in grado di sfuggire ai controlli dei software di sicurezza.
CCleaner ha una diffusione spaventosa. Riuscire a capire quali possano essere le dimensioni dell’attacco diventa molto difficile.
Stando a quanto rilevato dai ricercatori, però, il tutto si sarebbe risolto in un attacco che avrebbe coinvolto al massimo una ventina di computer. Il dato sarebbe stato estratto da uno dei server Command and Control (C&C) individuati e sequestrati in seguito alle indagini.
Ora emergono nuovi elementi e le proporzioni dell’attacco cambiano drasticamente. Prima di tutto perché i dati rintracciati sul server sequestrato erano parziali. A quanto pare, la memoria del server era stata svuotata poco prima che i ricercatori vi avessero accesso. Il primo dato di 20 computer colpiti, quindi, era decisamente sballato.
Ma c’è di più: Avast, infatti, ha individuato un secondo server C&C che conserva i backup del database originale presente sul primo server. E i dati sono sconvolgenti: si tratterebbe appunto di 1,6 milioni di computer.
La buona notizia è che solo una quarantina di questi sarebbero stati infettati con il payload che rappresenta la seconda fase dell’attacco.
Il punto, però, è che a questo punto gli stessi ricercatori hanno ben poche certezze. Ogni nuovo indizio sembra infatti sconfessare il precedente. Le due società più colpite dalla seconda fase dell’attacco, per esempio, non erano tra quelle elencate nella lista presente nel server Command and Control individuato in un primo momento.
Su 40 computer colpiti con il payload scaricato nella seconda fase dell’attacco, 13 sono di Chunghwa Telecom, una compagnia di Taiwan, e 10 della giapponese NEC. Nessuna delle due era nella lista individuata sul primo server.
A questo punto, quindi, sembra sensato adottare un atteggiamento estremamente prudente e mettere in dubbio ogni certezza. Per esempio riguardo al fatto che l’installazione di una versione aggiornata di CClenaer sia sufficiente a togliere di mezzo la backdoor.
Tanto più che il malware in questione sembra essere estremamente sofisticato. Utilizza tecniche di evasione e potrebbe prevedere altre fasi di evoluzione. Insomma: sul suo comportamento al momento non ci sono certezze.
Al punto che i ricercatori di Talos suggeriscono agli utenti di “ripristinare le macchine alla situazione precedente al 15 agosto o reinstallare”: In altre parole: formattare il computer.
Feb 06, 2023 0
Feb 02, 2023 0
Gen 30, 2023 0
Gen 27, 2023 0
Feb 07, 2023 0
Feb 07, 2023 0
Feb 07, 2023 0
Feb 06, 2023 0
Feb 07, 2023 0
Nel 2022 c’è stato un aumento record negli attacchi...Feb 07, 2023 0
Gli attacchi di phishing non si arrestano: sempre più...Feb 06, 2023 0
Questa mattina abbiamo dato conto del grande clamore...Feb 03, 2023 0
I ransomware sono stati la minaccia principale degli ultimi...Feb 02, 2023 0
Semperis ha recentemente organizzato un incontro con Coley...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Feb 07, 2023 0
Uno studio globale condotto da Kaspersky intervistando...Feb 06, 2023 0
I ricercatori di Proofpoint hanno individuato diverse...Feb 06, 2023 0
A partire da venerdì 3 febbraio, una nuova campagna...Feb 03, 2023 0
Il produttore di sistemi di storage QNAP ha annunciato...Feb 03, 2023 0
Prilex è un noto attore di minacce, che ha iniziato...
One thought on “CCleaner: le vittime dell’attacco sono 1.646.536. Meglio formattare?”