Hackerare gli hacker: smantellata una botnet per il mining di criptovalute

Hackerare gli hacker: smantellata una botnet per il mining di criptovalute

Un'operazione della polizia francese con la collaborazione di Avast ha messo in ginocchio una botnet di 850 mila PC impegnati, inconsapevolmente, a minare criptovalute. Come? Sfruttando una falla nel server command and control...

di pubblicata il , alle 10:01 nel canale Sicurezza
 

Le forze dell'ordine francesi, collaborando con la società di sicurezza informatica Avast, sono riuscite a mettere fuori gioco una botnet dedicata al mining di criptovalute: si è trattato, secondo la polizia, di una delle più grandi botnet del mondo che controllava quasi un milione di computer.

La botnet era basata sul malware Retadup, che una volta infettato un PC avvia la sua attività occulta di mining della criptovaluta Monero sfruttando le risorse computazionali del computer-vittima. Ma il malware presenta altre funzionalità, come la possibilità di eseguire codice dannoso da remoto tramite il server di command&control gestito dai suoi autori, nonché la capacità, propria di un worm, di riuscire a diffondersi da computer a computer. Sin dalla prima comparsa online il malware è riuscito a propagarsi efficacemente, in modo particolare negli Stati Uniti, in russia e in America Centrale e del Sud.

Avast è stata coinvolta nell'operazione dopo aver individuato una falla nel server command and control del malware che, se propriamente sfruttata, avrebbe consentito di rimuovere il malware dal computer delle vittime in maniera piuttosto semplice. Avast, la cui sede legale è in territorio Ceco, non disponeva però dell'autorizzazione ad operare in quanto una larga parte dell'infrastruttura di controllo del malware era situata su territorio francese. La società di sicurezza ha quindi contattato le autorità transalpine le quali, dopo aver ottenuto l'autorizzazione a procedere, hanno portato avanti l'operazione assieme ad Avast.

Operazione che ha potuto avere successo perché Avast è riuscita ad entrare in possesso di uno snapshot del server command and control, con la collaborazione del web host che lo ospitava. Avast ha operato con la massima riservatezza, per evitare di essere notata dagli autori del malware e rischiare così di innescare una rappresaglia: "Gli autori del malware erano principalmente impegnati nella diffusione di un miner di criptovalute allo scopo di generare una rendita passiva molto consistente. Se però si fossero accorti di ciò che stavamo per fare, avrebbero potuto diffondere ransomware in centinaia di migliaia di computer con un ultimo tentativo per massimizzare ulteriormente i profitti" hanno spiegato i ricercatori.

Lo snapshot del server command and control nelle mani dei ricercatori ha permesso loro di costruire una replica per bonificare i computer delle vittime. "La polizia ha sostituito il server command and control con la replica che ha impartito comandi di autodistruzione per il malware Retadup. Nei primi secondi di attività del server di bonifica si sono connessi migliaia di bot per ricevere i comandi dal server, il quale ha risposto e li ha ripuliti dal malware sfruttando la falla nel protocollo". Avast afferma che tramite questa operazione ha rimosso il malware da oltre 850 mila computer

Jean Dominique Nollet, capo della cyber unit della polizia francese, ha dichiarato che gli autori di Retadup sono comunque riusciti a intascare svariati milioni di euro di valore di criptovaluta.

4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Unrue03 Settembre 2019, 11:47 #1
Ma cosa vuol dire "uno snapshot del server command and control" ? Cioè di una copia della memoria? Non è molto chiaro cosa hanno fatto.
Zenida03 Settembre 2019, 20:45 #2
Originariamente inviato da: Unrue
Ma cosa vuol dire "uno snapshot del server command and control" ? Cioè di una copia della memoria? Non è molto chiaro cosa hanno fatto.


Pare che intendano questo.
Ovvero un'immagine disco completa del server. Lo hanno studiato, modificato e ricaricato sul server originale, grazie all'aiuto dell'host (che da oggi non sarà più scelto dai cybercriminali).
Mi pare di aver capito questo
v10_star04 Settembre 2019, 09:30 #3
si esatto in sostanza queste volpi hanno acquistato una vps (su ovh?) virtuale e gli admin dell'hosting hanno estrapolato dallo storage dove risiedeva questa vm un'immagine del disco della macchina virtuale in maniera assolutamente trasparente all'utente e consegnato ad avast il vmdk di turno: in sostanza gli hanno clonato il server sotto al sedere.

questo la dice lunga sulla "proprietà" dei dati nel cloud...
markolino8705 Settembre 2019, 08:17 #4
Originariamente inviato da: v10_star
si esatto in sostanza queste volpi hanno acquistato una vps (su ovh?) virtuale e gli admin dell'hosting hanno estrapolato dallo storage dove risiedeva questa vm un'immagine del disco della macchina virtuale in maniera assolutamente trasparente all'utente e consegnato ad avast il vmdk di turno: in sostanza gli hanno clonato il server sotto al sedere.

questo la dice lunga sulla "proprietà" dei dati nel cloud...


Ma ci stiamo rendendo conto di quello che si dice? “Proprietà dei dati del cloud”???
Oh ragazzi, questa è stata una delle operazioni cybercriminali più grandi che il mining di criptovalute abbia conosciuto, mi sembra più che normale (oltreché giustissimo) andare ad operare anche “violando” la privacy (anche se non riesco a vedere nessuna violazione in questo atto specifico) per la sicurezza dei cittadini.
Se poi volete venire a dirmi che ai cybercriminali è stata violata la loro privacy ma poi nessuno si lamenta del fatto che l’agenzia delle entrate sia a conoscenza al millesimo dei conti correnti dei cittadini allora o non ho capito niente io nella vita oppure siete assurdi voi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^