Botnet
SICUREZZA INFORMATICA

Sconfitta la Botnet Necurs, ma il pericolo persiste

Di Pierguido Iezzi

Microsoft ha annunciato di aver interrotto con successo la rete botnet causata dal malware Necurs, che aveva infettato più di 9 milioni di computer in tutto il mondo, e ha anche dirottato buona parte della sua infrastruttura.

Per botnet si intende una collezione di dispositivi connessi alla Rete compromessi da un threat actor. Questi agiscono come un moltiplicatore di forza per tutti coloro (dal singolo fino al gruppo organizzato di criminal hacker) che intendono sferrare cyber attacchi per violare dei sistemi, causare disservizi o lanciare campagne di Phishing o Ransomware.

L’opera di rimozione della botnet, risultato di uno sforzo congiunto che ha coinvolto ben 35 paesi differenti, è stata condotta con successo dopo che i ricercatori hanno “spezzato” con successo l’algoritmo per la generazione del dominio (domain generation algorithm o DGA), implementato dal malware Necurs, che lo ha aiutato a rimanere resiliente ai tentativi di rimozione per diverso tempo.

Il DGA è fondamentalmente una tecnica che permette di generare imprevedibilmente nuovi nomi dominio a intervalli regolari, aiutando gli autori di malware così a cambiare continuamente la posizione dei server di C&C (Command and Control). Così facendo riescono a mantenere una comunicazione ininterrotta con delle macchine infette e quindi i bot stessi.

Il team di Microsoft, grazie alla decrittazione dell’algoritmo è stato in grado di prevedere con precisione più di sei milioni di domini unici che sarebbero stati creati nel corso dei prossimi 25 mesi.

Microsoft ha segnalato che questi domini con i rispettivi registri nei paesi di tutto il mondo in modo che i siti web possano essere bloccati e quindi impedire loro di entrare all’interno dell’infrastruttura Necurs.

Assumendo il controllo dei siti web esistenti e inibendo la possibilità di registrarne nuovi, è stato quindi drasticamente ridotto il perimetro d’azione della botnet.

Una battaglia che andava avanti da ben 8 anni.

Rilevata la prima volta nel 2012, infatti, Necurs è una delle botnet di spam più prolifiche in tutto il mondo che ha infettato i sistemi con un malware bancari, di Cryptojacking e Ransomware.

Come se non bastasse, Necurs utilizzava le macchine infette per propagarsi e al fine di inviare quantità enormi di mail spam alle sue vittime.

Per riuscire ad evitare il rilevamento e per mantenere la persistenza su computer target, Necurs impiega il rootkit in modalità kernel che disabilità tante applicazioni di sicurezza incluso anche Windows Firewall.

Nel 2017, aveva fatto ancora parlare di sé quando ha iniziato a diffondere Locky e Dridex, due ransomware velocissimi, inviando ben 5 milioni di mail l’ora sui computer di tutto il mondo.

Per tre anni dal 2016 al 2019, è stato uno dei metodi più funzionali per riuscire a distribuire malware e spam da parte dei Criminal Hacker. Necurs si è reso responsabile del 90% del malware diffuso via mail in tutto il mondo.

Durante l’opera di Takedown della botnet, per capire la potenza di questo sistema, è stato possibile osservare come un computer infetto da Necurs ha inviato ben 3,8 milioni di mail spam diverse a oltre 40,6 milioni di vittime potenziali.

In alcuni casi, gli aggressori hanno iniziato a ricattare le vittime per un riscatto sostenendo d’essere a conoscenza dei loro affari extraconiugali e hanno minacciato d’inviare anche le prove alla famiglia, al coniuge e agli amici della vittima.

Una storia a lieto fine?

Il successo guidato da Microsoft non deve togliere l’attenzione da quello che è un problema che non si ferma a Necurs.

Le botnet erano, sono e continueranno ad essere un problema.

Questo perché i Criminal hacker costruiscono le loro reti di bot infettando dispositivi connessi alla rete attraverso un malware e li controllano utilizzando un server di C&C (Command and Control), ma spesso lo fanno con grandissima attenzione e bassa rilevabilità.

Una botnet potrebbe essere attiva sulla rete della vostra azienda da mesi e potreste non esservene accorti.

Ciò che rende ancora più pericoloso questo metodo di attacco è che una volta compromesso un singolo device tutti i dispositivi presenti sulla stessa Rete sono esposti al rischio d’infezione. E non stiamo parlando solo di Desktop o laptop. L’avvento dell’IoT di massa significa che anche oggetti di domotica semplici come una telecamera o una smart tv possono essere infettati.

Come difendersi

La difesa contro una botnet passa da due livelli principali.

Informazione e Sicurezza preventiva

Ovviamente, difficilmente la botnet si diffonde al primo livello su grandi network senza che prima i Criminal Hacker non operino un minimo di ricognizione e information Gathering. Ma non solo, anche dopo un’infezione i dettagli sull’attività della botnet e quindi dove opera sono rintracciabili in questi ambienti.

Per questo motivo nasce il servizio di Cyber Threat Intelligence.

La Threat Intelligence rappresenta la capacità di Intelligence sviluppata in ambito Cyber Security. Include la raccolta e l’analisi di informazioni al fine di caratterizzare possibili minacce cyber dal punto di vista tecnico in relazione a contesti operativi specifici. L’attività di Threat Intelligence ha lo scopo e l’obiettivo di individuare le eventuali informazioni pubbliche disponibili a livello OSINT e CLOSINT relative ad un determinato target.

Con il termine OSINT, acronimo di Open Source Intelligence, si fa riferimento al processo di raccolta d’informazioni attraverso la consultazione di fonti di pubblico dominio definite anche “fonti aperte“. Fare OSINT significa descrivere l’informazione disponibile e aperta al pubblico, attraverso un processo di ricerca, selezione, vaglio e reporting verso uno specifico destinatario al fine di soddisfare una necessità informativa.

La fase più importante del processo di OSINT è quella di “vagliare” le fonti rilevanti ed affidabili partendo da diverse tipologie di fonti di pubblico dominio.

L’OSINT quindi si distingue dalla banale ricerca d’informazioni perché applica un processo di gestione delle informazioni con lo scopo di creare una specifica conoscenza in un determinato ambito/contesto.

Con il termine CLOSINT si fa invece riferimento alla Close Source Intelligence, cioè al processo di raccolta d’informazioni attraverso consultazione di “fonti chiuse“, non accessibili al pubblico o aree “riservate”.

Il servizio di Cyber Threat Intelligence permette di cercare, monitorare e analizzare i soggetti di interesse (SOI) in diverse fonti, tra cui:

  • Dark Web communities e marketplaces (TOR-based);
  • Underground communities e marketplaces (Internet-based);
  • Social media networks, come ad esempio Facebook, Twitter, Linkedin, etc.;
  • Messaggistica istantanea, come ad esempio Viber, Telegram, QQ, WeChat, etc.;
  • Internet Relay Chat (IRC);
  • Integrated Intelligence Repositories (IOCs, TTPs, Security Incidents).

L’attività prevede la raccolta e l’analisi delle informazioni relative a Data Breach, Network Hygiene, Dark Web, Botnet Activity, Miscellaneuos Risks, IP Reputation, Passive DNS, Brand Names e Executives.

Intervenire sulla botnet non è solo una questione di Cyber Security interna, ma anche esterna. Questo tipo di attacco come abbiamo visto è in grado di nuocere a noi e al contempo utilizzare i nostri asset per colpire milioni di altri utenti.

In questo caso vale sempre il vecchio adagio: Information is Key!

© Italiaonline S.p.A. 2020Direzione e coordinamento di Libero Acquisition S.á r.l.P. IVA 03970540963