Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Massiccio attacco informatico. Pumpkin Eclipse blocca 600.000 router Windstream con malware Chalubo

RHC Dark Lab : 23 Giugno 2024 09:41

Lo scorso ottobre gli utenti del provider Internet Windstream si sono lamentati in massa del fatto che i loro router si sono bloccati improvvisamente, non rispondendo più ai riavvii e ad ogni altro tentativo di ripristino.

Come hanno scoperto i ricercatori, questo massiccio attacco, chiamato Pumpkin Eclipse (“Pumpkin Eclipse”, perché è accaduto tutto alla vigilia di Halloween), ha colpito più di 600.000 dispositivi e ha utilizzato il malware Chalubo.

Secondo i ricercatori dei Black Lotus Labs di Lumen , che hanno osservato l’incidente dal 25 al 27 ottobre 2023, l’accesso a Internet ha smesso di funzionare per gli utenti in molti stati, tra cui Iowa, Alabama, Arkansas, Georgia e Kentucky.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence".
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]




Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.


“Ora i nostri router restano semplicemente lì con il pannello frontale che emette una luce rossa fissa”, ha scritto un utente interessato sui router ActionTec T3200 che Windstream ha fornito a lui e a un vicino. “Non rispondono nemmeno al pulsante RESET.”

“Abbiamo tre figli ed entrambi lavoriamo da casa”, ha detto un’altra vittima sullo stesso forum. — Questo tempo di inattività ci è costato 1.500 dollari, tenendo conto della perdita di affari, della mancanza di TV, Wi-Fi, ore trascorse al telefono e così via. È così triste che un’azienda possa trattare i clienti in questo modo.”

Di conseguenza, Windstream è stata costretta a sostituire urgentemente i router interessati, fornendo agli utenti nuovi dispositivi.

Nonostante la sua portata, l’incidente è stato di portata limitata e ha interessato un ISP e tre modelli di router utilizzati da tale azienda: ActionTec T3200s, ActionTec T3260s e Sagemcom F5380. Secondo i ricercatori, in seguito alla Pumpkin Eclipse il numero degli apparecchi Windstream funzionanti è diminuito del 49%, il che significa che è stata colpita quasi la metà degli abbonati del provider.

“Black Lotus Labs ha identificato un incidente devastante: più di 600.000 router SOHO appartenenti a un fornitore di servizi Internet sono stati disabilitati. L’incidente è durato 72 ore tra il 25 e il 27 ottobre e ha provocato il guasto permanente dei dispositivi infetti, richiedendone la sostituzione”, affermano gli analisti nel rapporto pubblicato.

I ricercatori non sono stati in grado di rilevare la vulnerabilità utilizzata per ottenere l’accesso iniziale ai router, quindi si ritiene che gli aggressori abbiano utilizzato uno 0-day sconosciuto o credenziali deboli in combinazione con un’interfaccia amministrativa aperta.

Nella prima fase, il payload era lo script bash get_scrpc, che è stato eseguito per ottenere il secondo script get_strtriiush, responsabile dell’estrazione e dell’esecuzione del payload principale: il malware Chalubo (mips.elf).

Si noti che Chalubo viene eseguito in memoria per evitare il rilevamento, utilizza la crittografia ChaCha20 per comunicare con i suoi server di controllo e cancella anche tutti i file dal disco e modifica il nome del processo dopo l’avvio.

Un utente malintenzionato può inviare comandi al bot tramite script Lua, che consentono l’esfiltrazione di dati, il caricamento di moduli aggiuntivi o l’iniezione di nuovi payload nel dispositivo infetto.

Dopo l’esecuzione e una pausa di 30 minuti necessaria per bypassare i sandbox, il malware raccoglie informazioni sull’host, inclusi indirizzo MAC, ID, tipo e versione del dispositivo e indirizzo IP locale. Allo stesso tempo, Chalubo non sa come prendere piede nel sistema, quindi il riavvio del router infetto interrompe il funzionamento del malware.

Va inoltre notato che Chalubo è dotato di funzionalità per organizzare attacchi DDoS, sebbene i ricercatori non abbiano osservato tale attività dalla botnet.

Secondo i dati di telemetria di Black Lotus Labs, tra il 3 ottobre e il 3 novembre 2024, Chalubo ha utilizzato 45 pannelli dannosi che comunicavano con 650.000 indirizzi IP univoci, la maggior parte dei quali si trovava negli Stati Uniti.

Solo uno di questi pannelli è stato utilizzato in un attacco devastante contro un ISP americano, quindi i ricercatori ritengono che un utente malintenzionato abbia acquisito l’accesso a Chalubo appositamente allo scopo di installare malware distruttivo sui router Windstream.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli

Articoli in evidenza

Se Flash è morto, ecco a voi l’SVG Assassino! Il phishing 2.0 è in alta definizione
Di Redazione RHC - 05/09/2025

I criminali informatici hanno lanciato una nuova ondata di attacchi che utilizzano file SVG per distribuire pagine di phishing. Gli esperti di VirusTotal hanno segnalato che gli aggressori si spaccian...

Supercomputer: l’Italia al sesto e decimo posto nella classifica TOP500 del 2025
Di Redazione RHC - 05/09/2025

Il mondo dei supercomputer è entrato nell’era dell’exascale computing. La classifica TOP500 di giugno per il 2025 ha registrato tre sistemi americani ai vertici, un debutto clamoroso dall’Europ...

16 miliardi di credenziali rubate da Apple, Meta e Google in vendita per 121.000 dollari
Di Redazione RHC - 05/09/2025

Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...

Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
Di Redazione RHC - 04/09/2025

Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
Di Redazione RHC - 04/09/2025

Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...