Un recente rapporto sul panorama delle minacce pubblicato da Fortinet suggerisce che, sebbene l’FBI e le forze dell’ordine europee abbiano posto fine al dominio della botnet Andromeda alla fine del 2017, ci sono ancora sistemi infettati dal malware. L’azienda indica che il processo di pulizia dei PC infetti non sta procedendo allo stesso ritmo in tutte le regioni, poiché è ancora un grosso problema in Africa, Asia e Medio Oriente.
Fondamentalmente, Andromeda, o meglio Gamarue, è una piattaforma in grado di fornire una galassia di varianti di malware (in realtà solo 80) tra cui ransomware, trojan bancari, bot spam, malware per frode sui clic e Di più. Tra giugno 2017 e la sua presunta scomparsa prima dell'inizio del 2018, Andromeda era in piena espansione, così come era rilevato e bloccato su più di 1 milione di macchine ogni mese in media.
Video consigliati
Secondo Microsoft, la struttura di comando e controllo di Andromeda comprendeva 1.214 domini e indirizzi IP. Comprendeva inoltre 464 botnet “distinte” e oltre 80 famiglie di malware associate. Andromeda è stata venduta sul mercato nero come un "kit del crimine" che includeva un generatore di bot, un'applicazione di comando e controllo e la documentazione su come creare una botnet.
Ciò che ha reso Andromeda una vendita estremamente attraente è stata la sua natura modulare. Il kit veniva fornito con due plug-in, uno dei quali poteva trasformare un PC in un server proxy. Per ulteriori 150 dollari, gli hacker potevano acquistare il plug-in del keylogger o procurarsi il plug-in Formgetter per altri 250 dollari, che catturava i dati inviati tramite browser web.
Gli hacker diffondono Andromeda attraverso vari metodi come messaggi sui social media con collegamenti dannosi, e-mail di spam con collegamenti simili, downloader di trojan e altro ancora. Una volta infettata una macchina, Andromeda contattò un server di comando e controllo per diventare parte di un server più grande rete di PC infetti. Una volta che ciò fosse accaduto, gli hacker avrebbero potuto fare qualsiasi cosa con l’esercito di macchine sequestrate.
Ma come indica il rapporto, liberarsi di Andromeda non è un’impresa semplice. Solo in Africa, Andromeda ha la prevalenza più alta con il 25,6%, seguita dal verme H con il 13,8% e Ramnit con il 10,07%. Andromeda è in testa alle classifiche asiatiche, seguita da Ramnit (9,83%) e dal verme H (7,4%).
Il rapporto suggerisce che il problema con queste percentuali elevate è probabilmente legato alle capacità di risposta e riparazione di questi paesi.
Oltre a notare la lenta progressione della pulizia dei detriti di Andromeda, il rapporto punta il cappello su VPNFilter, un attacco sponsorizzato dallo stato-nazione sviluppato dalla Russia che prende di mira i router di rete. L’FBI aveva precedentemente distribuito un avvertimento ai cittadini statunitensi, invitandoli a riavviare i propri router per interrompere eventuali legami con i server di comando e controllo del malware.
Il rapporto invita anche la botnet Smominru una “aggiunta notevole”, un malware per il mining di Monero che prende di mira i PC basati su Windows. È stato diffuso tramite l'exploit EternalBlue e tramite una botnet che ha estratto circa 24 XMR ogni giorno. Al momento di questa pubblicazione, il valore di un singolo XMR era di 81 dollari, il che significa che gli hacker guadagnavano circa 1.944 dollari al giorno.
Altre botnet che ogni mese figurano permanentemente nel Threat Landscape Report dell'azienda includono Gh0st, Pushdo, Necurs e altre tre.
Raccomandazioni degli editori
- L'hacker infetta 100.000 router nell'ultimo attacco botnet volto a inviare spam tramite posta elettronica
Migliora il tuo stile di vitaDigital Trends aiuta i lettori a tenere d'occhio il frenetico mondo della tecnologia con tutte le ultime notizie, divertenti recensioni di prodotti, editoriali approfonditi e anteprime uniche nel loro genere.
