Aggiornamenti recenti Luglio 14th, 2025 4:57 PM
Apr 02, 2020 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
Una gigantesca operazione di pirateria informatica che sarebbe cominciata nel maggio del 2018 e avrebbe colpito centinaia di migliaia di server. A descriverla nei dettagli sono i ricercatori di Guardicore, che in un dettagliato report pubblicato su Internet spiegano il modus operandi del malware Vollgar.
Si tratta di una classica botnet, che prende di mira i server Microsoft SQL (MS-SQL) con l’obiettivo di installare un crypto-miner (un software in grado di sfruttare la potenza di calcolo dei server per generare crypto-valuta – ndr) sulla macchina colpita.
Vollgar, stando a quanto si legge nel report, utilizza una tecnica di attacco “mordi e fuggi”: i server vengono infatti infettati per un periodo limitato di tempo (circa due giorni) anche se in alcuni casi la presenza si prolunga fino a periodi di alcune settimane. Una parte di questi (circa il 10%) vengono infettati a più riprese.
Una strategia che secondo i ricercatori può essere dovuta alla volontà di nascondere la presenza del malware il più a lungo possibile.
L’origine degli attacchi, secondo l’autrice dello studio Ophir Harpaz, sarebbe riconducibile a un centinaio di server, la maggior parte dei quali situati in Cina, che utilizzano tecniche di brute forcing per violare i database e iniettare da remoto i comandi che avviano l’installazione del miner.
Buona parte di questi server sarebbero comunque macchine compromesse dai pirati informatici, che le starebbero usando per propagare l’attacco a un ritmo che ha raggiunto ormai un numero di vittime che varia tra i 2.000 e i 3.000 al giorno.
L’attribuzione a un gruppo cinese, però, sarebbe confermata da un altro elemento: l’interfaccia di controllo di uno dei server Command and Control (C&C) individuati da Guardicore, infatti, è in cinese.
Le funzionalità del malware, spiega la ricercatrice, sono però molto più ampie rispetto alla semplice installazione di un crypto-miner. La botnet, che sfrutta una doppia piattaforma di server C&C, mette infatti a disposizione dei cyber-criminali una serie di funzionalità tipiche dei classici trojan: dalla possibilità di accedere a microfoni e audio a funzioni di keylogging e cattura di schermate in remoto.
Insomma: la campagna di distribuzione del miner potrebbe essere solo la punta dell’iceberg di un’operazione più complessa, o una sorta di “fork” collegata a una classica azione di cyber-spionaggio.
La società di sicurezza ha pubblicato su GitHub uno script che consente di individuare Vollgar (scaricabile a questo indirizzo) per consentire agli amministratori di arginare la diffusione del malware che, al momento, sembra inarrestabile.
Lug 24, 2023 0
Nov 10, 2022 0
Ago 31, 2022 0
Apr 08, 2022 0
Lug 14, 2025 0
Lug 14, 2025 0
Lug 11, 2025 0
Lug 10, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 14, 2025 0
I ricercatori di AG Security Research hanno individuato una...Lug 14, 2025 0
Nel corso di questa settimana, il CERT-AGID ha individuato...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Una grave falla di sicurezza ha trasformato una sessione...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...