WannaCry è stato “contenuto” da un’altra botnet

Mag 17, 2017 Marco Schiaffino Attacchi, Malware, News, RSS 2

Migliaia di computer vulnerabili all’infezione sono stati attaccati prima del 12 maggio da un altro malware, che li ha “protetti” dall’attacco ransomware.

Meglio essere colpiti da un trojan o un ransomware? Probabilmente è questione di gusti. La domanda, però, andrebbe fatta a tutti quei proprietari di PC non aggiornati che hanno scampato l’attacco di WannaCry solo perché… avevano già un malware su computer.

A segnalare il paradosso è Kafeine, un ricercatore di sicurezza che ha individuato una campagna di distribuzione di malware che ha sfruttato la stessa vulnerabilità usata da WannaCry per diffondersi e che è diventata di pubblico dominio dopo il rilascio su Internet dei tool dell’NSA da parte del gruppo hacker degli Shadow Brokers.

Come spiega Kafeine, il malware in questione si chiama Adylkuzz ed è stato diffuso via Internet utilizzando due strumenti in uso agli 007 americani: EternalBlue e DoublePulsar, di cui era stato registrato un uso massiccio già all’indomani della loro pubblicazione sul Web

Adylkuzz, in realtà, non è particolarmente dannoso. Si tratta infatti di un miner, pensato per sfruttare la potenza di calcolo del computer compromesso per ottenere Monero, una cripto-valuta (il cui simbolo è XMR) simile a Bitcoin.

Monero si sta affermando come alternativa “veramente anonima” a Bitcoin. Un XMR oggi viene scambiato per circa 24 euro.

La logica è semplice: l’autore del malware, in pratica, “ruba” la capacità di calcolo dei computer infetti e la usa per eseguire i calcoli che gli permettono di creare gli XMR che poi vengono accreditati sui suoi conti.

Stando a quanto riporta il ricercatore, Adylkuzz avrebbe come unici effetti dannosi quelli di impedire l’accesso alle cartelle condivise e di impattare (in qualche caso pesantemente) sulle prestazioni dei computer infetti.

Il miner, però, esegue anche un’altra operazione: chiude la porta 445 del computer disattivando di fatto il famigerato Server Message Block, cioè il componente che consente l’installazione di WannaCry.

L’accorgimento, molto probabilmente, ha lo scopo di impedire che qualcun altro sfrutti la medesima vulnerabilità per infettare con un altro malware la macchina, bloccando Adylkuzz.

Insomma: la diffusione della botnet ha avuto come effetto collaterale quello di ridurre la superficie di attacco e contenere in qualche modo la diffusione di WannaCry.

Kafeine, nelle sue indagini, ha anche analizzato i portafogli Monero collegati alla botnet di Adylkuzz, che stando a quanto il ricercatore ha scoperto sarebbe composta da numerosi server Command and Control a cui rispondono migliaia di PC infetti.

E qui arriva anche un’altra piccola sorpresa: a giudicare dal “saldo” nei conti Monero collegati alla botnet, è probabile che l’autore di Adylkuzz abbia guadagnato molto più dei cyber-criminali che hanno seminato il panico con WannaCry.

Sui conti individuati, infatti, sono registrati pagamenti per circa 38.000 euro. Nei conti di WannaCry poco più di 60.000. Secondo Kafeine, però, i conti collegati ad Adylkuzz potrebbero essere decine e i guadagni complessivi del cyber-criminale che li controlla decisamente più elevati.

Condividi l'articolo