Gli analisti dei Black Lotus Labs di Lumen hanno individuato una nuova campagna malevola. L’attacco informatico ha compromesso oltre 6.000 router in 72 ore.
Una recente variante del malware TheMoon – in grado di diffondersi da router a router colpendo i dispositivi vulnerabili di piccoli uffici e ambienti domestici – ha attirato l’attenzione degli esperti di cybersecurity. Nel caso specifico – scrive Bleeping Computer – degli analisti dei Black Lotus Labs (braccio di ricerca di Lumen sulle minacce informatiche), che hanno monitorato l’ultima campagna malevola di TheMoon.
Gli analisti hanno riscontrato la compromissione di oltre 40.000 dispositivi in 88 Paesi. Restando sui numeri, nell’arco di tre giorni TheMoon avrebbe colpito 6.000 router Asus non aggiornati.
Come colpisce il malware TheMoon
All’atto pratico, TheMoon riesce ad aggirare l’autenticazione del router accedendovi senza conoscere realmente le password di amministratore. Quando viene infettato, il dispositivo comincia a intasare la rete con il con traffico in uscita sulla porta 80 (utilizzata per il traffico Internet “http” non protetto) e sulla porta 8080 (spesso utilizzata per i server Web, può essere usata da amministratori o sviluppatori), con conseguente attività di dati pesanti.
Una situazione, dunque, che si manifesta attraverso un rallentamento insolito della connettività Internet su ogni dispositivo. Come confermano gli esperti di sicurezza informatica, ci sono una serie di azioni preventive che possono essere attuate per scongiurare questo tipo di infezione: dall’aggiornamento del firmware sui router (di qualsiasi marca essi siano) all’adozione di password complesse fino all’utilizzo di antivirus efficaci.
Vulnerabilità di sistema
Il team di ricercatori ha inoltre osservato che, per incrementare le proprie capacità, TheMoon – “affacciatosi” per la prima volta nel 2014 – fa leva su Faceless, un noto servizio proxy già sfruttato in varie campagne malevole. C’è di più. Gli esperti di sicurezza hanno appreso che operazioni di malware (da SolarMarker a IcedID) stanno ricorrendo alla botnet per celare la propria attività online.
Al contempo, però, gli analisti non puntualizzano come siano stati colpiti esattamente i router; tuttavia, considerato che gli aggressori hanno preso di mira dispositivi non aggiornati, con ogni probabilità hanno sfruttato le vulnerabilità conosciute nel loro firmware. Senza tralasciare il fatto che potrebbero fare ricorso alla forza bruta e, semplicemente, indovinare le credenziali dell’amministratore.