Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Ricardo Nardini : 8 Maggio 2024 07:32
Una variante del malware PlugX che si riteneva “morta”, in realtà, molto silente godeva di ottima salute infettando migliaia di computer. In tre mesi sono state registrate due milioni e mezzo di richieste IP univoche, il che significa che c’è in atto una infezione in corso.
Nel 2020 un gruppo di criminali informatici asiatici ha attivato una variante del noto malware PlugX. Questo malware è stato progettato per diffondersi attraverso unità USB e infettando reti interne aziendali e domestiche, rubando documenti.
A metà dell’anno 2023 i creatori di questo malware worm sono scomparsi dalla scena e per ragioni sconosciute hanno abbandonato il server di comando e controllo utilizzato per ottenere il controllo delle macchine infette. Si presume che la cybergang asiatica sospettasse di avere il FBI sulle loro tracce, quindi lasciò abbandonato e incustodite le attività del malware, e questo andò fuori controllo.
CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce.
Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.
Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
All’inizio mentre la variante PlugX era in piena attività, i criminali informatici erano riusciti a creare una botnet composta da milioni di computer. Stiamo parlando di un enorme insieme di apparecchiature che potrebbero essere controllate da remoto dagli aggressori.
Ora, eliminando il server di comando e controllo dallo schema, non c’era più nessuno che controllasse il malware, quindi apparentemente non rappresentava più una minaccia. La verità è che solo una parte di questo programma dannoso non era più un problema di cui preoccuparsi, perché un’altra parte era ancora molto attiva.
Questo è proprio ciò che hanno potuto verificare i ricercatori di Sekoia, che hanno preso il controllo del server di comando e controllo per impedire a chiunque di far rivivere la variante PlugX, e soprattutto ottenere ulteriori dati sul suo funzionamento.
L’analisi di un host infetto ha permesso di identificare a quale indirizzo IP si collegava il malware, che era esattamente l’indirizzo IP del server di comando e controllo. Poiché l’IP era disponibile per l’acquisto, Sekoia ha effettuato un esborso di denaro inferiore a 10 dollari USA per gestirlo.
Una volta compiuto questo passo indispensabile, i ricercatori hanno scoperto che tra i novanta mila e cento mila indirizzi IP univoci inviano richieste giornaliere alla vecchia variante di PlugX.
E’ difficile identificare il numero di computer infetti in base a queste informazioni, ma possiamo fare un’approssimazione. Gli esperti ritengono che il malware worm continui a diffondersi e sia attivo forse su milioni di dispositivi.
Il worm per sua natura ha continuato a funzionare in automatico e sebbene la botnet sia stata smantellata, i ricercatori avvertono che chiunque abbia capacità di intercettazione potrebbe inviare comandi arbitrari agli host infetti per rianimarlo.
Di fronte a questo scenario, Sekoia ha scoperto che è possibile utilizzare il server di comando e controllo per neutralizzare completamente la minaccia sia sui computer compromessi che sulle unità USB. Si tratta di una possibilità tecnica che nella realtà non è stata ancora messa in pratica.
Sekoia ha formulato due strategie per pulire i computer e ha invitato i team nazionali di sicurezza informatica e le forze dell’ordine a unirsi allo sforzo di disinfezione.
Un metodo consiste nell’inviare il comando di auto eliminazione supportato da PlugX, che dovrebbe rimuoverlo dai computer senza azioni aggiuntive.
Tuttavia, anche se il malware viene rimosso dall’host, sussiste comunque il rischio di una nuova infezione perché il malware si diffonde sui dispositivi USB e in questo modo non è possibile pulirli.
Un metodo più complesso prevede lo sviluppo e la distribuzione di un payload personalizzato sulle macchine infette per rimuovere PlugX sia dal sistema che dalle unità USB infette ad esse collegate.
Sekoia si è offerta di fornire ai CERT nazionali (Computer Emergency Response Team) le informazioni necessarie per eseguire una disinfezione massiva per evitare la complessità legale dell’invio di comandi alle postazioni di lavoro di altre persone.
Indipendentemente dal metodo, Sekoia osserva che purtroppo le reti air gap già colpite da PlugX sono fuori portata e lo stesso vale per le unità USB infette che non sono collegate.
I ricercatori di Sekoia affermano che la botnet creata con la versione sinkhole di PlugX può essere considerata “morta” perché gli operatori di questo malware non hanno più il controllo.
PlugX è stato utilizzato almeno dal 2008 principalmente in operazioni di spionaggio e accesso remoto da parte di gruppi legati al Ministero della Sicurezza dello Stato cinese. È stato utilizzato da più gruppi di attacco spesso per prendere di mira organizzazioni governative, di difesa, tecnologiche e politiche, principalmente in Asia e successivamente espandendosi in Occidente.
Nel corso del tempo, gli sviluppatori di PlugX sono emersi nello spazio pubblico e alcuni ricercatori ritengono che il codice sorgente del malware sia trapelato intorno al 2015. Per questo motivo e il fatto che lo strumento abbia ricevuto più aggiornamenti nel corso del tempo rende difficile attribuire PlugX a una unica gang o un programma specifico.
Il malware presenta funzionalità estese tra cui l’esecuzione di comandi, il caricamento e il download di file, la registrazione delle sequenze di tasti e l’accesso alle informazioni di sistema.
Un supporto congiunto a livello internazionale per stroncare l’infezione e la propagazione sarebbe auspicabile, anche se come abbiamo verificato in passato, mettere insieme sinergie internazionali è parecchio complesso.
Ricardo NardiniNegli ultimi giorni, il collettivo hacktivista italiano Anonymous Italia ha risposto agli attacchi informatici sferrati dal gruppo filorusso NoName057(16) colpendo una serie di obiettivi russi. Gli at...
Gruppo di ricerca MASSGRAVE ha presentato un Exploit chiamato TSforge che consente di attivare qualsiasi versione di Windows a partire da Windows 7, nonché tutte le edizioni di Microsof...
Su BreachForum un utente dallo pseudonimo EDRVendor ha venduto, dopo poche ore dall’annuncio, l’accesso ad una cassetta postale della polizia di stato italiana. Oltre alla mail viene off...
Team di intelligence sulle minacce di Google ha reso pubblica l’informazione sul gruppo di hacker Triplestrength, finora sconosciuto, attivo dal 2020. Il gruppo è composto da poc...
I canali Telegram degli hacker filorussi di NoName057(16) sono stati eliminati da telegram. Ma subito gli attivisti ricreano nuovi canali marchiati con il suffisso “reborn“. Ma...
Copyright @ 2003 – 2024 REDHOTCYBER Srl
PIVA 17898011006
