Secondo quanto riportato dalla società di cybersecurity Guardicore Labs, un’attacco su larga scala avviato il febbraio scorso – nome in codice Nansh0u Campaign – ha colpito circa 700 vittime al giorno ed è riuscito a creare una rete di oltre 50.000 server infettati con malware che contribuiscono a pool di mining di criptovalute.
Sempre secondo quanto riportato dalla medesima società, i virus diffusi sarebbero stati almeno 20, che partendo da una stessa base di codice utilizzavano appunto iniezioni di codice diverse.
Il malware in questione avrebbe anche installato un rootkit in grado di impedire la rimozione del malware stesso.
Avvisato l’hosting provider ed eliminato il certificato per il rootkit
La società ha poi proceduto ad avvisare l’hosting dei server utilizzati per gli attacchi e chi ha rilasciato il certificato dei rootkit, ottenendo nel primo caso la sospensione degli account e nel secondo la revoca del certificato.
Attacco molto avanzato, che utilizza strumenti che si credevano in possesso soltanto degli stati
L’analisi di Guardicore Labs ha individuato porzioni di codice che utilizzavano strumenti molto avanzati, sui livelli di quelli in genere utilizzati per il cyberspionaggio da parte delle agenzie governative.
Un pessimo segno per la sicurezza informatica globale: non è il primo degli attacchi sofisticati che puntano ad installare software per il mining.
Tutte le tracce conducono alla Cina
Vale inoltre la pena di sottolineare che tutti gli indizi, almeno per il momento, conducono verso la Repubblica Popolare. Indizi nel codice e i server utilizzati indicherebbero proprio una diretta responsabilità di gruppi di hacker cinesi nell’attacco.
Vettore di attacco semplice: le password degli utenti sono ancora l’anello debole
Nonostante il malware utilizzasse codice e procedure molto complesse, come superficie di attacco ha puntato ancora all’anello debole della sicurezza informatica: la semplicità delle password.
Secondo quanto riportato dalla società infatti per ottenere accesso ai computer gli hacker avrebbero utilizzato un banalissimo attacco bruteforce, ovvero un sistema che utilizza una lista di password comuni e le utilizza per ottenere accesso al computer.
Il mondo delle criptovalute, in un modo o nell’altro, fa da sempre molto gola agli hacker.