Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Massiccio attacco informatico. Pumpkin Eclipse blocca 600.000 router Windstream con malware Chalubo

RHC Dark Lab : 23 Giugno 2024 09:41

Lo scorso ottobre gli utenti del provider Internet Windstream si sono lamentati in massa del fatto che i loro router si sono bloccati improvvisamente, non rispondendo più ai riavvii e ad ogni altro tentativo di ripristino.

Come hanno scoperto i ricercatori, questo massiccio attacco, chiamato Pumpkin Eclipse (“Pumpkin Eclipse”, perché è accaduto tutto alla vigilia di Halloween), ha colpito più di 600.000 dispositivi e ha utilizzato il malware Chalubo.

Secondo i ricercatori dei Black Lotus Labs di Lumen , che hanno osservato l’incidente dal 25 al 27 ottobre 2023, l’accesso a Internet ha smesso di funzionare per gli utenti in molti stati, tra cui Iowa, Alabama, Arkansas, Georgia e Kentucky.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

“Ora i nostri router restano semplicemente lì con il pannello frontale che emette una luce rossa fissa”, ha scritto un utente interessato sui router ActionTec T3200 che Windstream ha fornito a lui e a un vicino. “Non rispondono nemmeno al pulsante RESET.”

“Abbiamo tre figli ed entrambi lavoriamo da casa”, ha detto un’altra vittima sullo stesso forum. — Questo tempo di inattività ci è costato 1.500 dollari, tenendo conto della perdita di affari, della mancanza di TV, Wi-Fi, ore trascorse al telefono e così via. È così triste che un’azienda possa trattare i clienti in questo modo.”

Di conseguenza, Windstream è stata costretta a sostituire urgentemente i router interessati, fornendo agli utenti nuovi dispositivi.

Nonostante la sua portata, l’incidente è stato di portata limitata e ha interessato un ISP e tre modelli di router utilizzati da tale azienda: ActionTec T3200s, ActionTec T3260s e Sagemcom F5380. Secondo i ricercatori, in seguito alla Pumpkin Eclipse il numero degli apparecchi Windstream funzionanti è diminuito del 49%, il che significa che è stata colpita quasi la metà degli abbonati del provider.

“Black Lotus Labs ha identificato un incidente devastante: più di 600.000 router SOHO appartenenti a un fornitore di servizi Internet sono stati disabilitati. L’incidente è durato 72 ore tra il 25 e il 27 ottobre e ha provocato il guasto permanente dei dispositivi infetti, richiedendone la sostituzione”, affermano gli analisti nel rapporto pubblicato.

I ricercatori non sono stati in grado di rilevare la vulnerabilità utilizzata per ottenere l’accesso iniziale ai router, quindi si ritiene che gli aggressori abbiano utilizzato uno 0-day sconosciuto o credenziali deboli in combinazione con un’interfaccia amministrativa aperta.

Nella prima fase, il payload era lo script bash get_scrpc, che è stato eseguito per ottenere il secondo script get_strtriiush, responsabile dell’estrazione e dell’esecuzione del payload principale: il malware Chalubo (mips.elf).

Si noti che Chalubo viene eseguito in memoria per evitare il rilevamento, utilizza la crittografia ChaCha20 per comunicare con i suoi server di controllo e cancella anche tutti i file dal disco e modifica il nome del processo dopo l’avvio.

Un utente malintenzionato può inviare comandi al bot tramite script Lua, che consentono l’esfiltrazione di dati, il caricamento di moduli aggiuntivi o l’iniezione di nuovi payload nel dispositivo infetto.

Dopo l’esecuzione e una pausa di 30 minuti necessaria per bypassare i sandbox, il malware raccoglie informazioni sull’host, inclusi indirizzo MAC, ID, tipo e versione del dispositivo e indirizzo IP locale. Allo stesso tempo, Chalubo non sa come prendere piede nel sistema, quindi il riavvio del router infetto interrompe il funzionamento del malware.

Va inoltre notato che Chalubo è dotato di funzionalità per organizzare attacchi DDoS, sebbene i ricercatori non abbiano osservato tale attività dalla botnet.

Secondo i dati di telemetria di Black Lotus Labs, tra il 3 ottobre e il 3 novembre 2024, Chalubo ha utilizzato 45 pannelli dannosi che comunicavano con 650.000 indirizzi IP univoci, la maggior parte dei quali si trovava negli Stati Uniti.

Solo uno di questi pannelli è stato utilizzato in un attacco devastante contro un ISP americano, quindi i ricercatori ritengono che un utente malintenzionato abbia acquisito l’accesso a Chalubo appositamente allo scopo di installare malware distruttivo sui router Windstream.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli

Articoli in evidenza

Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato

Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025,  Google ha presentato uno dei suoi aggiornamenti più entusia...

Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...

Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...