Ricardo Nardini : 8 Maggio 2024 07:32
Una variante del malware PlugX che si riteneva “morta”, in realtà, molto silente godeva di ottima salute infettando migliaia di computer. In tre mesi sono state registrate due milioni e mezzo di richieste IP univoche, il che significa che c’è in atto una infezione in corso.
Nel 2020 un gruppo di criminali informatici asiatici ha attivato una variante del noto malware PlugX. Questo malware è stato progettato per diffondersi attraverso unità USB e infettando reti interne aziendali e domestiche, rubando documenti.
A metà dell’anno 2023 i creatori di questo malware worm sono scomparsi dalla scena e per ragioni sconosciute hanno abbandonato il server di comando e controllo utilizzato per ottenere il controllo delle macchine infette. Si presume che la cybergang asiatica sospettasse di avere il FBI sulle loro tracce, quindi lasciò abbandonato e incustodite le attività del malware, e questo andò fuori controllo.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
All’inizio mentre la variante PlugX era in piena attività, i criminali informatici erano riusciti a creare una botnet composta da milioni di computer. Stiamo parlando di un enorme insieme di apparecchiature che potrebbero essere controllate da remoto dagli aggressori.
Ora, eliminando il server di comando e controllo dallo schema, non c’era più nessuno che controllasse il malware, quindi apparentemente non rappresentava più una minaccia. La verità è che solo una parte di questo programma dannoso non era più un problema di cui preoccuparsi, perché un’altra parte era ancora molto attiva.
Questo è proprio ciò che hanno potuto verificare i ricercatori di Sekoia, che hanno preso il controllo del server di comando e controllo per impedire a chiunque di far rivivere la variante PlugX, e soprattutto ottenere ulteriori dati sul suo funzionamento.
L’analisi di un host infetto ha permesso di identificare a quale indirizzo IP si collegava il malware, che era esattamente l’indirizzo IP del server di comando e controllo. Poiché l’IP era disponibile per l’acquisto, Sekoia ha effettuato un esborso di denaro inferiore a 10 dollari USA per gestirlo.
Una volta compiuto questo passo indispensabile, i ricercatori hanno scoperto che tra i novanta mila e cento mila indirizzi IP univoci inviano richieste giornaliere alla vecchia variante di PlugX.
E’ difficile identificare il numero di computer infetti in base a queste informazioni, ma possiamo fare un’approssimazione. Gli esperti ritengono che il malware worm continui a diffondersi e sia attivo forse su milioni di dispositivi.
Il worm per sua natura ha continuato a funzionare in automatico e sebbene la botnet sia stata smantellata, i ricercatori avvertono che chiunque abbia capacità di intercettazione potrebbe inviare comandi arbitrari agli host infetti per rianimarlo.
Di fronte a questo scenario, Sekoia ha scoperto che è possibile utilizzare il server di comando e controllo per neutralizzare completamente la minaccia sia sui computer compromessi che sulle unità USB. Si tratta di una possibilità tecnica che nella realtà non è stata ancora messa in pratica.
Sekoia ha formulato due strategie per pulire i computer e ha invitato i team nazionali di sicurezza informatica e le forze dell’ordine a unirsi allo sforzo di disinfezione.
Un metodo consiste nell’inviare il comando di auto eliminazione supportato da PlugX, che dovrebbe rimuoverlo dai computer senza azioni aggiuntive.
Tuttavia, anche se il malware viene rimosso dall’host, sussiste comunque il rischio di una nuova infezione perché il malware si diffonde sui dispositivi USB e in questo modo non è possibile pulirli.
Un metodo più complesso prevede lo sviluppo e la distribuzione di un payload personalizzato sulle macchine infette per rimuovere PlugX sia dal sistema che dalle unità USB infette ad esse collegate.
Sekoia si è offerta di fornire ai CERT nazionali (Computer Emergency Response Team) le informazioni necessarie per eseguire una disinfezione massiva per evitare la complessità legale dell’invio di comandi alle postazioni di lavoro di altre persone.
Indipendentemente dal metodo, Sekoia osserva che purtroppo le reti air gap già colpite da PlugX sono fuori portata e lo stesso vale per le unità USB infette che non sono collegate.
I ricercatori di Sekoia affermano che la botnet creata con la versione sinkhole di PlugX può essere considerata “morta” perché gli operatori di questo malware non hanno più il controllo.
PlugX è stato utilizzato almeno dal 2008 principalmente in operazioni di spionaggio e accesso remoto da parte di gruppi legati al Ministero della Sicurezza dello Stato cinese. È stato utilizzato da più gruppi di attacco spesso per prendere di mira organizzazioni governative, di difesa, tecnologiche e politiche, principalmente in Asia e successivamente espandendosi in Occidente.
Nel corso del tempo, gli sviluppatori di PlugX sono emersi nello spazio pubblico e alcuni ricercatori ritengono che il codice sorgente del malware sia trapelato intorno al 2015. Per questo motivo e il fatto che lo strumento abbia ricevuto più aggiornamenti nel corso del tempo rende difficile attribuire PlugX a una unica gang o un programma specifico.
Il malware presenta funzionalità estese tra cui l’esecuzione di comandi, il caricamento e il download di file, la registrazione delle sequenze di tasti e l’accesso alle informazioni di sistema.
Un supporto congiunto a livello internazionale per stroncare l’infezione e la propagazione sarebbe auspicabile, anche se come abbiamo verificato in passato, mettere insieme sinergie internazionali è parecchio complesso.
Ricardo NardiniGoogle sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...
Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...
Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...
Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...
“Combattere il cybercrime è come estirpare le erbacce: se non elimini le radici a fondo, queste ricresceranno” e oggi, più che mai, questa verità si conferma ess...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
