Aggiornamenti recenti Ottobre 4th, 2024 9:00 AM
Gen 18, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, Minacce, News, RSS, Worms 1
Possiamo dirlo: la notizia dello smantellamento della botnet Satori era decisamente prematura. A meno di un mese di distanza dall’azione che ha messo K.O. i server Command and Control che gestivano gli oltre 500.000 dispositivi IoT infettati dal worm, i ricercatori hanno individuato una nuova variante.
La nuova incarnazione di Satori, per fortuna, sembra diffondersi molto più lentamente della precedente, ma gli analisti segnalano una differenza sostanziale: ai due exploit utilizzati in precedenza (uno prende di mira i dispositivi Realteck SDK, l’altro i router Huawei) se n’è aggiunto un terzo.
Si tratta di una tecnica di attacco che fa leva sulla vulnerabilità di un software chiamato Claymore Miner, che viene usato per generare Ethereum.
Nonostante sia meno redditizio rispetto a un tempo, ci sono ancora tantissime persone che usano i cosiddetti miner hardware per raggranellare qualche soldo generando cripto-valuta. Si tratta di dispositivi basati su potenti GPU (i processori grafici sono più efficienti in questo tipo di calcoli) che passano ore a macinare blockchain e restituiscono in cambio cripto-monete.
Satori, secondo quanto ricostruito dai ricercatori di Netlab (il loro post su questa pagina è in cinese, ma la traduzione in inglese con Translator è discretamente leggibile – ndr) non si limita a scansire le porte 37215 e 52869 come in passato, ma attacca anche i dispositivi che hanno attiva la porta 3333, quella usata da Claymore Miner per ricevere i comandi in remoto.
Una volta ottenuto l’accesso (i dettagli della vulnerabilità non sono stati resi pubblici per non consentire ad altri cyber-criminali di sfruttarla) il worm modifica le impostazioni di Claymore Miner dirottando gli Ethereum sul wallet del pirata informatico che controlla la botnet.
Sulla macchina viene lasciato anche un messaggio da parte dell’autore del worm, che punta a “tranquillizzare” il legittimo proprietario rassicurandolo sul fatto che il bot installato non è pericoloso. Naturalmente sta mentendo: il suo scopo è infatti quello di rubare gli Ethereum direttamente alla fonte.
Secondo i ricercatori, negli ultimi 10 giorni questa tecnica gli avrebbe permesso di intascare poco meno di 1.000 dollari, ma considerato il fatto che la botnet è in espansione (le analisi di Labnet parlano di alcune centinaia di migliaia di miner attivi su Internet) è prevedibile che i suoi guadagni aumentino piuttosto rapidamente.
Ago 29, 2024 0
Lug 09, 2024 0
Mag 24, 2024 0
Feb 29, 2024 0
Ott 04, 2024 0
Ott 03, 2024 0
Ott 02, 2024 0
Ott 02, 2024 0
Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 01, 2024 0
I ricercatori di ESET hanno scoperto che di recente il...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Set 24, 2024 0
Negli ultimi anni gli ambienti OT sono diventati sempre...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Ott 04, 2024 0
Fino a neanche un mese fa l’applicazione di ChatGPT...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 02, 2024 0
Tra le minacce alla sicurezza aziendale, l’errore...Ott 02, 2024 0
I ricercatori di Bitsight TRACE hanno individuato alcune...
One thought on “Torna la botnet Satori e questa volta attacca i miner per Ethereum”