Le stime iniziali circa l’attacco che ha utilizzato CCleaner per diffondere il trojan Floxif (per approfondire) erano fin troppo positive. L’attacco che ha colpito gli utenti che hanno scaricato CCleaner tra Agosto e Settembre sembra molto più grave del previsto. Il malware diffuso dai cyber criminali ha infatti infettato 1,646,536 computer.
L’attacco era stato inizialmente definito come un tentativo riuscito a metà. Questo in quanto il malware prevede un attacco suddiviso in due fasi (ma si ipotizza anche l’esistenza di una terza) e secondo le prime valutazioni era stato bloccato quando ancora si trovava al primo stadio.
Uno scenario più complesso
L’ottimismo iniziale ha poi lasciato il posto ai primi dubbi sul fatto che l’attacco fosse molto più complesso ed articolato rispetto a come potesse apparire in un primo momento. Alcuni indizi hanno indotto i ricercatori a credere che l’attacco fosse un tentativo di colpire soltanto alcuni specifici obiettivi all’interno di grandi aziende - come Microsoft, Samsung, Cisco, VMware, MSI, Sony, D-Link - operanti nel settore IT.
A compromettere i sistemi di Piriform per inserire un trojan nei file di installazione di CCleaner sarebbero dunque stati dei cyber criminali estremamente preparati, come dimostra il fatto che abbiano sviluppato ed utilizzato un malware capace di aggirare i controlli dei software di sicurezza.
Le dimensioni dell’attacco
Sempre facendo riferimento all’iniziale stima di danni, il tutto si sarebbe risolto in un attacco che avrebbe colpito un massimo di 20 computer. Questo dato sarebbe stato estratto da uno dei server Command and Control (C&C) individuati e sequestrati nel corso delle indagini.
Tuttavia di fronte all’emergere di nuovi elementi lo scenario cambia drasticamente e di conseguenza cambiamo anche le stime circa le dimensioni dell’attacco…
In primo luogo poiché i dati estrapolati dal server sequestrato erano solo parziali. La memoria del server sarebbe stata infatti svuotata prima che i ricercatori potessero analizzarla, fornendo così un dato inesatto sulle dimensioni del fenomeno.
Avast, inoltre, ha individuato un secondo server C&C che conserva i backup del database originale presente sul primo server. A questo punto il numero di computer coinvolti raggiunge cifre esorbitanti, in quanto sarebbero circa 1,6 milioni i dispositivi infettati. In ogni modo pare che solo 40 computer siano stati infettati con il payload, cioè la seconda fase dell’attacco.
Quali contromisure adottare?
Le certezze allo stato attuale sono veramente poche. Gli indizi che emergono nel corso delle indagini risultano infatti nettamente in contrasto con quelli raccolti in precedenza. Le due società più colpite nel corso della seconda fase dell’attacco, ad esempio, non figurano tra quelle presenti nella lista inizialmente individuata nel server C&C.
Anche per questa ragione, e di fronte alla quasi totale assenza di certezze sulle quali fondare le proprie valutazioni, la prudenza è l’atteggiamento più saggio da adottare.
Il malware risulta infatti estremamente complesso e capace di utilizzare tecniche di evasione, tanto che non è da escludere l’ipotesi che il malware possa prevedere anche ulteriori fasi di evoluzione. In quest’ottica, neanche l’installazione di una versione aggiornata di CCleaner potrebbe essere sufficiente al fine di rimuovere la blackdoor. Il suggerimento per gli utenti è quindi quello di ripristinare le macchine allo stato antecedente al 15 agosto o in alternativa di reinstallare, ossia di formattare il computer.
Nessun commento:
Posta un commento