Windigo, demone che infetta 500mila Pc al giorno
Eset Nod ha svelato i numeri di una campagna di spam, battezzata con il nome di una minacciosa creatura mitologica, rimasta silente per tre anni: finora ha infettato 25mila server Unix.
Pubblicato il 19 marzo 2014 da Alessandro Perego


La diffusione geografica dei server infettati dal backdoor Ebury
Proprio Eset Nod32 adesso lancia un’allerta: dall’inizio della campagna sono già stati colpiti 25mila server Unix, di cui 10mila circa attualmente tenuti sotto controllo, mentre l’infezione dei Pc viaggia al ritmo di circa 500mila terminali al giorno.
“Più di 35 milioni di messaggi di spam sono stati inviati ogni giorno ad account di utenti ignari, intasando le caselle di posta e mettendo a rischio i sistemi informatici”, ha spiegato Marc-Étienne Léveillé, capo ricercatore Eset. “Peggio ancora, ogni giorno oltre mezzo milione di computer è a rischio infezione, nel momento in cui visitano i siti contaminati dall’operazione Windigo, che li reindirizzano verso programmi e pubblicità malevoli”.
Le tattiche dei criminali sono varie: mentre i siti Web colpiti da Windigo tentano di infettare i Pc Windows attraverso programmi malevoli (exploit kit), gli utenti Mac sono in genere bersagliati da annunci di siti di dating, mentre i possessori di iPhone vengono reindirizzati a contenuti pornografici online. Tra le vittime dell’operazione Windigo figurano, fra l’altro, anche kernel.org (il sito di distribuzione ufficiale dei sorgenti Linux) e cPanel (un tool grafico per la realizzazione e la gestione di siti Internet).
“Questa minaccia è davvero molto seria”, ha proseguito Léveillé, “ed è necessario che i webmaster prestino la massima attenzione, mettendo in atto tutti i comportamenti necessari per proteggere e tutelare non solo i propri sistemi, ma anche tutto l’ecosistema Internet. Pochi minuti possono fare la differenza per bloccare l’ulteriore propagazione del malware”.
Eset definice addirittura come “agghiacciante” un dettaglio di questa operazione: il backdoor Ebury utilizzata da Windigo non sfrutta una vulnerabilità di Linux o OpenSSH bensì viene installato manualmente. Eppure questo non ha rappresentato un ostacolo per i cyberciminali, che hanno comunque infettato decine di migliaia di server. Forti, soprattutto, della scarsa diffusione di antivirus e di sistemi di autenticazione a due fattori come misure di protezione dei server.
Come contrattaccare? Innanzitutto, per verificare la contaminazione del server i ricercatori di Eset invitano a eseguire il seguente comando: $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected". Nel caso si scopra di essere stati infettati, il rimedio non è dei più indolori ma necessario: bisogna pulire i computer colpiti e reinstallare sistema operativo e software, utilizzando nuove password e nuove credenziali d’accesso. Ed è consigliabile valutare di proteggere in modo più sofisticato il server rimesso a nuovo, optando per una tecnologia di autenticazione a due fattori.
Tag: sicurezza, cybercrimine
SICUREZZA
- Attacchi informatici in crescita, valgono il doppio del PIL italiano
- Cloud e reti di nuova generazione nella roadmap 2021 di Zyxel
- La sicurezza resta un punto debole nei progetti di migrazione cloud
- Palo Alto compra Bridgecrew per una sicurezza “shift-left”
- Smart working e connessioni: la rete domestica è piena di rischi
NEWS
- Netapp conferma Davide Marini alla guida in Italia
- Rivoluzione Google: stop alla pubblicità basata sulla cronologia
- La crescita dei marketplace surclassa quella degli e-commerce
- Microsoft: cloud, Teams e realtà mista per annullare le distanze
- Fintech: TeamSystem acquisisce la maggioranza di Modefinance