Hackerare gli hacker: smantellata una botnet per il mining di criptovalute

Le forze dell'ordine francesi, collaborando con la società di sicurezza informatica Avast, sono riuscite a mettere fuori gioco una botnet dedicata al mining di criptovalute: si è trattato, secondo la polizia, di una delle più grandi botnet del mondo che controllava quasi un milione di computer.

La botnet era basata sul malware Retadup, che una volta infettato un PC avvia la sua attività occulta di mining della criptovaluta Monero sfruttando le risorse computazionali del computer-vittima. Ma il malware presenta altre funzionalità, come la possibilità di eseguire codice dannoso da remoto tramite il server di command&control gestito dai suoi autori, nonché la capacità, propria di un worm, di riuscire a diffondersi da computer a computer. Sin dalla prima comparsa online il malware è riuscito a propagarsi efficacemente, in modo particolare negli Stati Uniti, in russia e in America Centrale e del Sud.

Avast è stata coinvolta nell'operazione dopo aver individuato una falla nel server command and control del malware che, se propriamente sfruttata, avrebbe consentito di rimuovere il malware dal computer delle vittime in maniera piuttosto semplice. Avast, la cui sede legale è in territorio Ceco, non disponeva però dell'autorizzazione ad operare in quanto una larga parte dell'infrastruttura di controllo del malware era situata su territorio francese. La società di sicurezza ha quindi contattato le autorità transalpine le quali, dopo aver ottenuto l'autorizzazione a procedere, hanno portato avanti l'operazione assieme ad Avast.

Operazione che ha potuto avere successo perché Avast è riuscita ad entrare in possesso di uno snapshot del server command and control, con la collaborazione del web host che lo ospitava. Avast ha operato con la massima riservatezza, per evitare di essere notata dagli autori del malware e rischiare così di innescare una rappresaglia: "Gli autori del malware erano principalmente impegnati nella diffusione di un miner di criptovalute allo scopo di generare una rendita passiva molto consistente. Se però si fossero accorti di ciò che stavamo per fare, avrebbero potuto diffondere ransomware in centinaia di migliaia di computer con un ultimo tentativo per massimizzare ulteriormente i profitti" hanno spiegato i ricercatori.

Lo snapshot del server command and control nelle mani dei ricercatori ha permesso loro di costruire una replica per bonificare i computer delle vittime. "La polizia ha sostituito il server command and control con la replica che ha impartito comandi di autodistruzione per il malware Retadup. Nei primi secondi di attività del server di bonifica si sono connessi migliaia di bot per ricevere i comandi dal server, il quale ha risposto e li ha ripuliti dal malware sfruttando la falla nel protocollo". Avast afferma che tramite questa operazione ha rimosso il malware da oltre 850 mila computer

Jean Dominique Nollet, capo della cyber unit della polizia francese, ha dichiarato che gli autori di Retadup sono comunque riusciti a intascare svariati milioni di euro di valore di criptovaluta.