Negli ultimi mesi, un gruppo di ricercatori ha abbattuto migliaia di siti internet sfruttati dai cyber criminali per diffondere malware. Quest’operazione Shadowfall, come è stata poi chiamata, ha attaccato RIG, uno degli Exploit Kit più attivi negli ultimi mesi: ve ne abbiamo parlato in diverse occasioni, sopratutto come veicolo di distribuzione di una serie di ransomware. I ricercatori hanno individuato tutti i sotto-domini collegati a RIG, creati all’interno di siti web compromessi, attraverso una complessa operazione di intelligence sfruttando i database Whols e incrociando le informazioni dei soggetti che li hanno registrati per individuare altri sotto-domini sospetti.
I cyber criminali mettono a disposizione sotto compenso RIG, una sorta di piattaforma composta da migliaia di pagine web che contengono exploit di ultima generazione, pensata per diffondere qualsiasi genere di malware. Le pagine web sono solitamente create come sottodomini all’interno di siti internet compromessi, ma vengono gestite attraverso servizi di hosting “blindati” che consentono ai cyber criminali di averne il controllo. Quando una vittima viene attirata su una di queste pagine, attraverso un processo di analisi delle informazioni che il dispositivo invia al sito, come il sistema operativo o il tipo e la versione del browser, RIG seleziona l’exploit più efficace e avvia l’installazione in remoto del malware.
Secondo i ricercatori di RSA, i gestori di RIG sono riusciti a violare dei siti internet legittimi utilizzando botnet di dispositivi IoT compromessi e attraverso attacchi di phishing o tecniche di Brute Forcing, prendendo di mira in particolar modo i siti basati su piattaforma WordPress.
Le conclusioni di RSA
Mentre misurare l’impatto di operazioni di questo tipo è difficile: in questo caso però l'analisi preliminare dell'operazione aveva indicato una probabilmente significativa perdita di capacità delle operazioni di RIG. L'impatto reale è ancora sotto la valutazione congiunta dei team di ricercatori. È, per ora, impegnativo calcolare l’impatto che questa operazione ha portato rispetto al gran numero di campagne di diffusione ransomware, malvertising e malspam in corso. Quello che sappiamo è che, il 16 maggio 2017, decine di migliaia di domini ombra attivi sono stati rimossi fermando una grossa diffusione di malware.
Nessun commento:
Posta un commento