Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Set 26, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1
Le prime valutazioni a seguito dell’attacco che ha usato CCleaner come vettore di attacco per diffondere un trojan erano decisamente troppo ottimistiche. L’attacco che ha coinvolto gli utenti che hanno scaricato CCleaner è decisamente più grave di quanto si pensasse.
Secondo gli esperti di sicurezza, infatti, il malware diffuso dai pirati potrebbe aver infettato la bellezza di 1.646.536 computer su cui è stato installato il software di manutenzione.
In un primo momento i ricercatori di Talos che hanno individuato l’attacco lo hanno classificato come un “tentativo riuscito a metà”. Il malware, infatti, prevede un attacco in due (o tre) fasi e il primo report degli analisti sembrava rassicurante: l’attacco era stato fermato al primo stadio.
Poi i primi dubbi, con un secondo report secondo il quale risultava che l’attacco fosse molto più complesso di quanto sembrasse in un primo momento e alcuni indizi che facevano pensare a un tentativo di colpire soltanto alcuni obiettivi specifici all’interno di aziende del settore dell’information Technology come Cisco, Microsoft e altri giganti dell’IT.
Insomma, a compromettere i sistemi di Piriform per inserire un trojan nei file di installazione di CCleaner sarebbero stati pirati di alto profilo, che avrebbero usato un malware decisamente complesso e in grado di sfuggire ai controlli dei software di sicurezza.
CCleaner ha una diffusione spaventosa. Riuscire a capire quali possano essere le dimensioni dell’attacco diventa molto difficile.
Stando a quanto rilevato dai ricercatori, però, il tutto si sarebbe risolto in un attacco che avrebbe coinvolto al massimo una ventina di computer. Il dato sarebbe stato estratto da uno dei server Command and Control (C&C) individuati e sequestrati in seguito alle indagini.
Ora emergono nuovi elementi e le proporzioni dell’attacco cambiano drasticamente. Prima di tutto perché i dati rintracciati sul server sequestrato erano parziali. A quanto pare, la memoria del server era stata svuotata poco prima che i ricercatori vi avessero accesso. Il primo dato di 20 computer colpiti, quindi, era decisamente sballato.
Ma c’è di più: Avast, infatti, ha individuato un secondo server C&C che conserva i backup del database originale presente sul primo server. E i dati sono sconvolgenti: si tratterebbe appunto di 1,6 milioni di computer.
La buona notizia è che solo una quarantina di questi sarebbero stati infettati con il payload che rappresenta la seconda fase dell’attacco.
Il punto, però, è che a questo punto gli stessi ricercatori hanno ben poche certezze. Ogni nuovo indizio sembra infatti sconfessare il precedente. Le due società più colpite dalla seconda fase dell’attacco, per esempio, non erano tra quelle elencate nella lista presente nel server Command and Control individuato in un primo momento.
Su 40 computer colpiti con il payload scaricato nella seconda fase dell’attacco, 13 sono di Chunghwa Telecom, una compagnia di Taiwan, e 10 della giapponese NEC. Nessuna delle due era nella lista individuata sul primo server.
A questo punto, quindi, sembra sensato adottare un atteggiamento estremamente prudente e mettere in dubbio ogni certezza. Per esempio riguardo al fatto che l’installazione di una versione aggiornata di CClenaer sia sufficiente a togliere di mezzo la backdoor.
Tanto più che il malware in questione sembra essere estremamente sofisticato. Utilizza tecniche di evasione e potrebbe prevedere altre fasi di evoluzione. Insomma: sul suo comportamento al momento non ci sono certezze.
Al punto che i ricercatori di Talos suggeriscono agli utenti di “ripristinare le macchine alla situazione precedente al 15 agosto o reinstallare”: In altre parole: formattare il computer.
Lug 19, 2024 0
Lug 18, 2024 0
Lug 12, 2024 0
Lug 09, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
One thought on “CCleaner: le vittime dell’attacco sono 1.646.536. Meglio formattare?”