Symantec attacca la botnet ZeroAccess

Sicurezza

Gli specialisti di Symantec hanno limitato in maniera significativa la botnet ZeroAccess , attiva dal 2011, una delle più grandi attualmente conosciute, con oltre 1,9 milioni di computer infettati

Symantec compie un primo passo nella lotta contro la botnet ZeroAccess . I ricercatori di Symantec hanno messo in salvo 500 mila tra gli 1,9milioni di macchine zombie ,schiave della botnet. Inoltre Symantec sta lavorando attivamente con gli ISP e CERT in tutto il mondo per contribuire a ripulire le macchine infette. La botnet ZeroAccess ha un’infrastruttura molto sofisticata che utilizza un’architettura peer-to-peer per un alto grado di ridondanza, senza centrale di comando e di controllo del server. Utilizza anche diversi metodi avanzati per “sopravvivere” sulle macchine infette.

Come informa un nota di Symantec, “una caratteristica chiave della botnet ZeroAccess è l’utilizzo di un’architettura di comunicazione Command-and-Control di tipo peer-to-peer che fornisce alla botnet un livello elevato di disponibilità e ridondanza. Data l’assenza di un server C&C centrale, è impossibile neutralizzare la botnet semplicemente disabilitando l’insieme dei server autori dell’attacco. Quando un computer viene infettato da ZeroAccess, per prima cosa si connette a diversi peer per scambiare i dettagli relativi ad altri peer presenti nella propria rete P2P nota. In questo modo, i bot rilevano la presenza di altri peer e possono propagare istruzioni e file attraverso la rete in modo rapido ed efficiente. Nella botnet ZeroAccess avviene una comunicazione costante tra peer. Ogni peer si connette continuamente ad altri peer per scambiare elenchi di peer e verificare la presenza di file aggiornati: in questo modo risulta molto difficile tentare di disattivare il sistema”.

ZeroAccess

Sul piano pratico ZeroAccess sta arricchendo gli aggressori . ZeroAccess distribuisce carichi di lavoro ai computer infetti, attraverso i quali genera un guadagno per gli autori dell’attacchi utilizzando la tradizionale frode basata sui clic e sfruttando anche il “Bitcoin mining”, per un guadagno potenziale di decine di milioni di dollari solo per l’anno in corso. La valuta virtuale Bitcoin attrae gli autori di crimini informatici per diversi motivi. Il modo in cui è generato ogni Bitcoin è basato sull’esecuzione di operazioni matematiche note come “mining” sull’hardware di elaborazione. Quest’attività presenta un valore diretto per il botmaster e un costo per le vittime ignare. Un test di Symantec ha dimostrato che, nonostante l’architettura P2P resiliente della botnet ZeroAccess, è comunque possibile neutralizzare un’ampia porzione di bot. Ciò significa che tali bot non saranno più in grado di ricevere alcun comando dal botmaster e non risulteranno disponibili per la botnet, sia per la trasmissione dei comandi che per l’aggiornamento o la creazione di nuovi schemi per la generazione di un guadagno.

ZeroAccess è solo una delle molte botnet attaccate con la tecnica di rerouting chiamata “sinkholing” ; Prima di ZeroAcess Microsoft e FBI avevano preso di mira la botnet Citadel che controllava al suo picco milioni di PC infetti.

Read also :
Autore: Silicon
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore