martedì 26 ottobre 2010

Bredolab: una nuova botnet KO

Mikko Hypponen di F-Secure ha ripreso il comunicato del "High Tech Crime Team" olandese che ha annunciato ieri una azione di contenimento della botnet Bredolab, una più pericolose in circolazione.

Bredolab è un trojan polimorfico molto complicato, innalzato agli onori della cronoca soprattutto per essere stato utilizzato in campagne di attacco contro gli utenti di Facebook e MySpace. In realtà Bredolab è stato  utilizzato per infettare gli utenti secondo quasi tutti gli schemi conosciuti, utilizzando tecniche che spaziano dagli attacchi di tipo drive-by, al più classico invio di e-mail fino a sofisticate tecniche di social engineering. La botnet di Bredolab è nota per essere collegata a campagne di spam e di diffusione di falsi software antivirus. Una volta installato, Bredolab prende il completo controllo del computer infetto e viene usato per ottenere informazioni sull'utente, tra cui le sue password e i suoi dati finanziari.

Tanto per quantificare un minimo l'estensione e la capacità di operare di questa botnet vi riporto i principali dati che sono stati raccolti nel corso delle indagini: la botnet era in grado di infettare 3 milioni di nuovi computer al mese e, quotidianamente, venivano inviate oltre 3,6 miliardi di e-mail contenenti il trojan.

La cronaca di ieri ci racconta che, a fine estate, dopo una serie di investigazioni del High Tech Crime Team, è emerso che questa botnet utilizzava numerosi server affittati da un rivenditore di LeaseWeb che è il più grande hosting provider in Olanda. LeaseWeb, informata dei fatti, ha pienamente collaborato alle indagini e alle successive fasi di contenimento della botnet. E' stato quindi costituito un team composto da LeaseWeb, dal Dutch Forensic Institute (NFI), da Fox-IT, una società di sicurezza  e dal GOVCERT.NL, il Computer Emergency Response Team olandese. Le attività di questo team si sono concluse ieri con il sequestro e la disconnessione da Internet di 143 server della rete di Comando e Controllo della botnet, rendendola di fatto inoffensiva.

Questa notizia va a supportare una nuova tendenza di contrasto alle botnet caratterizzata da un atteggiamento molto più offensivo rispetto al passato, infatti, dopo l'Operation B49 condotta da Microsoft e il "takedown" di Mariposa, si aggiunge un altro significativo tassello nella lotta contro le botnet. È però interessante notare che questa volta si farà un passo avanti rispetto alle altre operazioni di "takedown", infatti, è stato annunciato che sarà inviato un avviso agli utenti dei PC infetti che, al momento del login, riceveranno una informativa sullo stato di infezione del loro sistema. 

Probabilmente, per consentire l'invio di questo messaggio, sarà utilizzata l'infrastruttura stessa della botnet con una modalità di approccio che, appunto, non ha precedenti.

Insomma, un consistente passo avanti nella lotta alle botnet e una buona notizia per tutti noi.

Nessun commento:

Posta un commento

http://www.wikio.it