CCleaner: le vittime dell’attacco sono 1.646.536. Meglio formattare?

Set 26, 2017 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 1

A meno di 10 giorni dalla scoperta dell’attacco, si passa dai toni rassicuranti al panico. Più di 1,5 milioni di PC compromessi da un malware pericolosissimo.

Le prime valutazioni a seguito dell’attacco che ha usato CCleaner come vettore di attacco per diffondere un trojan erano decisamente troppo ottimistiche. L’attacco che ha coinvolto gli utenti che hanno scaricato CCleaner è decisamente più grave di quanto si pensasse.

Secondo gli esperti di sicurezza, infatti, il malware diffuso dai pirati potrebbe aver infettato la bellezza di 1.646.536 computer su cui è stato installato il software di manutenzione.

In un primo momento i ricercatori di Talos che hanno individuato l’attacco lo hanno classificato come un “tentativo riuscito a metà”. Il malware, infatti, prevede un attacco in due (o tre) fasi e il primo report degli analisti sembrava rassicurante: l’attacco era stato fermato al primo stadio.

Poi i primi dubbi, con un secondo report secondo il quale risultava che l’attacco fosse molto più complesso di quanto sembrasse in un primo momento e alcuni indizi che facevano pensare a un tentativo di colpire soltanto alcuni obiettivi specifici all’interno di aziende del settore dell’information Technology come Cisco, Microsoft e altri giganti dell’IT.

Insomma, a compromettere i sistemi di Piriform per inserire un trojan nei file di installazione di CCleaner sarebbero stati pirati di alto profilo, che avrebbero usato un malware decisamente complesso e in grado di sfuggire ai controlli dei software di sicurezza.

CCleaner ha una diffusione spaventosa. Riuscire a capire quali possano essere le dimensioni dell’attacco diventa molto difficile.

Stando a quanto rilevato dai ricercatori, però, il tutto si sarebbe risolto in un attacco che avrebbe coinvolto al massimo una ventina di computer. Il dato sarebbe stato estratto da uno dei server Command and Control (C&C) individuati e sequestrati in seguito alle indagini.

Ora emergono nuovi elementi e le proporzioni dell’attacco cambiano drasticamente. Prima di tutto perché i dati rintracciati sul server sequestrato erano parziali. A quanto pare, la memoria del server era stata svuotata poco prima che i ricercatori vi avessero accesso. Il primo dato di 20 computer colpiti, quindi, era decisamente sballato.

Ma c’è di più: Avast, infatti, ha individuato un secondo server C&C che conserva i backup del database originale presente sul primo server. E i dati sono sconvolgenti: si tratterebbe appunto di 1,6 milioni di computer.

La buona notizia è che solo una quarantina di questi sarebbero stati infettati con il payload che rappresenta la seconda fase dell’attacco.

Il punto, però, è che a questo punto gli stessi ricercatori hanno ben poche certezze. Ogni nuovo indizio sembra infatti sconfessare il precedente. Le due società più colpite dalla seconda fase dell’attacco, per esempio, non erano tra quelle elencate nella lista presente nel server Command and Control individuato in un primo momento.

Su 40 computer colpiti con il payload scaricato nella seconda fase dell’attacco, 13 sono di Chunghwa Telecom, una compagnia di Taiwan, e 10 della giapponese NEC. Nessuna delle due era nella lista individuata sul primo server.

A questo punto, quindi, sembra sensato adottare un atteggiamento estremamente prudente e mettere in dubbio ogni certezza. Per esempio riguardo al fatto che l’installazione di una versione aggiornata di CClenaer sia sufficiente a togliere di mezzo la backdoor.

Tanto più che il malware in questione sembra essere estremamente sofisticato. Utilizza tecniche di evasione e potrebbe prevedere altre fasi di evoluzione. Insomma: sul suo comportamento al momento non ci sono certezze.

Al punto che i ricercatori di Talos suggeriscono agli utenti di “ripristinare le macchine alla situazione precedente al 15 agosto o reinstallare”: In altre parole: formattare il computer.

Condividi l'articolo