Operazione Windigo: scoperta una gigantesca campagna cyber-crime

I ricercatori ESET NOD32 lanciano l’allarme in tutto il mondo sul pericolosissimo Trojan, che da tre anni si propaga in silenzio. Ogni giorno vengono inviati 35mln di messaggi spam. Un appello a webmaster e amministratori di sistema per correre ai ripari

Gli esperti del centro ricerche internazionale ESET NOD32, in collaborazione con diverse agenzie nazionali per la sicurezza informatica, hanno appena scoperto una capillare campagna cyber-crime, che ha preso il controllo di oltre 25.000 server Unix in tutto il mondo. L’attacco, ribattezzato dai ricercatori ESET Operazione Windigo (dal nome della creatura cannibale della mitologia dei nativi Americani Algonchini), ha provocato l’invio di milioni di mail di spam da parte dei server infetti. La complessa struttura di questo sofisticato malware è stata disegnata per sabotare i server, infettare i computer collegati alla rete e rubare informazioni.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Tra le vittime dell’Operazione Windigo anche kernel.org (il sito di distribuzione ufficiale dei sorgenti Linux) e cPanel (tool grafico per la realizzazione e la gestione di siti Internet).

“La vasta Operazione Windigo si è sviluppata negli ultimi tre anni, passando quasi inosservata agli occhi della comunità internazionale degli esperti di settore, e attualmente ha preso il controllo di 10.000 server”, ha dichiarato capo ricercatore ESET Marc-Étienne Léveillé. “Più di 35 milioni di messaggi di spam sono stati inviati ogni giorno ad account di utenti ignari, intasando le caselle di posta e mettendo a rischio i sistemi informatici. Peggio ancora, ogni giorno oltre mezzo milione di computer è a rischio infezione, nel momento in cui visitano i siti contaminati dall’operazione Windigo, che li reindirizzano verso programmi e pubblicità malevoli “.

Mentre i siti web colpiti da Windigo tentano di infettare i PC Windows attraverso programmi malevoli (exploit kit), gli utenti Mac sono in genere bersagliati da annunci di siti di dating, mentre i possessori di iPhone vengono reindirizzati a contenuti pornografici online.

Un appello agli amministratori di sistema per tutelarsi da Windigo Oltre il 60% dei siti web di tutto il mondo opera su server Linux e i ricercatori ESET sono in contatto con i webmaster e gli amministratori di sistema per verificare la presenza dell’infezione Windigo.

“Questa minaccia è davvero molto seria ed è necessario che i webmaster prestino la massima attenzione, mettendo in atto tutti i comportamenti necessari per proteggere e tutelare non solo i propri sistemi, ma anche tutto l’eco-sistema Internet. Pochi minuti possono fare la differenza per bloccare l’ulteriore propagazione del malware”, continua Léveillé.

Per verificare la contaminazione del server i ricercatori di ESET invitano a eseguire il seguente comando: $ ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo “System clean” || echo “System infected”.

La difficile medicina per le vittime di Windigo “La backdoor Ebury utilizzata da Windigo non sfrutta una vulnerabilità di Linux o OpenSSH”, continua Léveillé. “Viene piuttosto installata manualmente; il fatto che questa organizzazione cybercriminale sia riuscita ad infettare in questo modo decine di migliaia di server è agghiacciante. Gli anti-virus e i sistemi di autenticazione a due fattori, mentre rappresentano una protezione ormai comune per i desktop, vengono raramente utilizzati per proteggere i server, rendendoli così vulnerabili al furto delle credenziali e facilitando la propagazione dei malware”.

Nel caso in cui gli amministratori di sistema scoprano che i loro sistemi siano stati infettati, è necessario pulire i computer colpiti e reinstallare sistema operativo e software, utilizzando nuove password e nuove credenziali d’accesso, essendo le vecchie ormai compromesse. In futuro, per raggiungere un livello di protezione più alto, sarà opportuno optare per una tecnologia di autenticazione a due fattori.

“Siamo consapevoli che ripulire il server e ricominciare da zero è un rimedio molto oneroso, ma se gli hacker hanno rubato o manomesso le credenziali del sistema e hanno avuto accesso remoto ai server, non si deve correre alcun rischio, sottovalutando il pericolo”, sottolinea Léveillé.

Leggi anche:  SentinelOne, la forza dell’innovazione a protezione del business