Mining botnet: un’emergenza che nei prossimi mesi potrà solo peggiorare

Con l’aumento dei valori delle principali criptovalute l’interesse del crimine informatico è salito alle stelle, molte organizzazioni criminali e sviluppatori di malware stanno focalizzando i propri sforzi in attività di mining delle criptovalute e nello sviluppo di codici malevoli per il loro furto.

Un esempio di phishing per attirare utenti in una botnet

Con il termine mining indichiamo sostanzialmente l’attività di emissione di nuova criptovaluta che richiede la risoluzione di calcoli dalla complessità crescente: essendo un’attività  i costi associati elevati in termini di risorse, diversi gruppi criminali stanno cercando di infettare il maggior numero di macchine in rete, soprattutto server, per sfruttarne le capacità computazionali. Nei giorni scorsi il panorama delle minacce informatiche è stato caratterizzato dalla scoperta di almeno due nuove botnet per il mining di criptovalute che presentano singolari capacità.

La botnet Smominru e WannaMine

La prima singolare scoperta è stata fatta dagli esperti dell’azienda di sicurezza Proofpoint i quali hanno individuato una enorme botnet denominata Smominru che utilizza l’exploit EternalBlue (CVE-2017-0144), quello trafugato all’NSA ed utilizzato in infezioni massive come WannaCry, per infettare sistemi Windows e reclutarli in attività di mining della criptovaluta Monero.

Con l’aiuto di Abuse.CH e ShadowServer Foundation, Proofpoint ha condotto un’operazione di sinkholing che permetteva di profilare la botnet. Secondo i ricercatori, la botnet Smominru è attiva almeno da maggio 2017 e ha già infettato più di 526.000 computer Windows. La maggior parte dei sistemi infetti sono server distribuiti in tutto il mondo, molti dei quali in Russia, India e Taiwan. Smominru è molto redditizia, è stato stimato che gli operatori abbiano già generato circa 8.900 Monero (2.346.271 dollari al tasso attuale).  Ogni giorno la botnet estrae circa 24 Monero, per una media di 8.500 dollari a settimana. I gestori della botnet utilizzano almeno 25 host per la scansione di Internet alla ricerca di computer vulnerabili all’exploit EternalBlue, tutti e 25 server sono posizionate dietro il sistema autonomo di rete AS63199.

Nella stessa settimana, i ricercatori della società di sicurezza CrowdStrike hanno individuato un nuovo worm, chiamato WannaMine perché anche’esso sfrutta come il popolare WannaCry sfrutta l’exploit EternalBlue per la diffusione. Anche WannaMine è stato sviluppato per generare la criptovaluta Monero abusando delle risorse delle vittime. Secondo i ricercatori di sicurezza di CrowdStrike, il codice malevolo è molto sofisticato, implementa un meccanismo di diffusione e un modello di persistenza simili a quelli utilizzati dai gruppi APT (Advanced Persistent Threat). WannaMine è un malware fileless che è stato segnalato per la prima volta dai ricercatori di Panda Security: esso è in grado di infettare i sistemi che eseguono tutte le versioni di Windows a partire da Windows 2000, incluse le versioni a 64 bit e Windows Server 2003.

Gli effetti delle botnet sulle aziende

L’impatto di queste tipologie di botnet sulle attività aziendali è significativo, i codici malevoli in esecuzione possono rendere alcune aziende incapaci di operare per giorni o settimane. I miner possono causare l’arresto anomalo dei sistemi e delle applicazioni a causa dell’elevato impiego della CPU.

WannaMine implementa meccanismi di persistenza e tecniche di propagazione simili a quelli utilizzati dagli attori di stato, dimostrando una tendenza evidenziata nel recente Casebook CrowdStrike Cyber ​​Intrusion 2017 che afferma che “gli attacchi attuali continuano a rendere difficile la distinzione delle tattiche adottate da attori nation-state da quelli in uso da parte di gruppi dediti al crimine”. Come avrete compreso, entrambi i malware sono stati progettati per sfruttare l’exploit dell’NSA EternalBlue pubblicamente rilasciato dagli hacker del team ShadowBrokers. Tale exploit consente ai codici malevoli di propagarsi rapidamente infettando un numero elevato di macchine. Ci confrontiamo per l’ennesima volta con il problema della militarizzazione del cyberspazio, codici malevoli sviluppati da attori nation-state sfuggono al controllo e diventano pericolose commodity nelle mani di gruppi criminali.

L’arrivo di DGG

Mentre mi accingevo a scrivere questo post, i ricercatori del Netlab di Qihoo 360 hanno analizzato una nuova campagna basata sulla botnet chiamata DDG. DDG è considerata la seconda più grande botnet di sempre, che opera per compromettere server Redis e OrientDB. Il codice malevolo ha già infettato circa 4.400 server e ha estratto oltre 925.000 dollari di Monero da marzo 2017: DDG è ad oggi tra le più grandi mining botnet.

DDG sfrutta la vulnerabilità legata all’esecuzione di codice in modalità remota CVE-2017-11467 per compromettere i database OrientDB e compromettere i server Redis tramite un attacco di forza bruta. I truffatori stanno concentrando i loro sforzi sugli attacchi contro server che di solito hanno capacità di calcolo significative. L’immagine seguente mostra il processo di attacco della botnet DDG Botnet:

I ricercatori hanno analizzato il traffico associato alla botnet e hanno osservato 4.391 indirizzi IP di server compromessi da tutti i paesi. La maggior parte delle infezioni è in Cina (73%), seguita dagli Stati Uniti (11%). La botnet si compone per la maggioranza di database Redis compromessi, circa 88% del numero di sistemi infetti. I criminali informatici stanno utilizzando tre indirizzi di wallet, la botnet ha estratto 3.955 Monero, ma i ricercatori hanno anche scoperto un altro portafoglio contenente 2.428 Monero (altri 660.000 dollari). Ulteriori informazioni, inclusi gli indicatori di compromissione (IoC), sono contenuti nel rapporto tecnico pubblicato da Netlab.

I tre casi sono rappresentativi di una pericolosa tendenza criminale, accanto all’attività estorsiva (i.e. ransomware) i gruppi di criminali affiancano con crescente frequenza la costituzione e lo sfruttamento di botnet concepite per attività di mining. Lecito attendersi quindi una vera e propria impennata di attacchi simili nei prossimi mesi.