Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MalwareMinacce

La botnet Ponmocup ancora attivamente utilizzata per scopi di lucro

botnet  cert nazionale  Ponmocup   venerdì, 4 dicembre 2015

La società di sicurezza olandese Fox IT ha recentemente pubblicato un rapporto dettagliato sulla botnet Ponmocup, definendola “un gigante nascosto nell’ombra”.

Secondo quanto riportato da Fox IT, Ponmocup, conosciuta dal 2006 sotto i nomi Vundo o Virtumonde, è una delle botnet di maggior rilievo degli ultimi dieci anni, in termini di diffusione e persistenza. Ciò nonostante, è stata in larga parte sottovalutata dagli esperti di sicurezza, anche a causa del basso profilo sempre tenuto dai suoi operatori, che si ritengono far parte di un gruppo ben organizzato, presumibilmente di origini russe.

Si ritiene che il malware alla base di Ponmocup abbia infettato, a partire dal 2009, un totale di oltre 15 milioni di macchine. Al suo apice, nel luglio del 2011, la botnet era composta da 2,4 milioni di sistemi infettati. Attualmente, questa botnet altamente sofisticata è stabile a circa 500.000 infezioni in tutto il mondo ed è ancora attivamente utilizzata per scopi di lucro.

I paesi più colpiti sono le grandi nazioni di lingua Inglese, con una spiccata prevalenza di Stati Uniti e Regno Unito. Anche se l’Italia non è storicamente mai stata molto interessata da questa botnet, il CERT Nazionale, nell’ambito delle sua attività di prevenzione, ha di recente segnalato la presenza sul nostro territorio di circa 5.000 sistemi presumibilmente infetti da Ponmocup, ma questo numero potrebbe anche essere destinato a salire nell’immediato futuro.

Il malware Ponmocup ha una struttura molto sofisticata e consiste di diversi componenti (plug-in) utilizzati per trasportare, installare, eseguire e controllare il malware. Ognuno di questi componenti è progettato per impedire ai ricercatori di effettuarne il reverse engineering e analizzare le sue funzionalità.

Ciascuno dei componenti utilizza server C&C (Command and Control) diversi e le comunicazioni tra il malware e i server passano attraverso diversi strati di server proxy, rendendo difficile disattivare l’intera botnet. Ponmocup utilizza la crittografia e memorizza i propri componenti in locazioni differenti, nel tentativo di eludere il rilevamento da parte dei tradizionali prodotti di sicurezza.

Il team di Fox IT ha finora scoperto e analizzato circa 25 componenti differenti, con un numero enorme di varianti, circa 4.000, che rivelano che il malware Ponmocup è in una fase di continuo sviluppo.

La botnet utilizza anche diversi domini creati ad hoc per l’installazione del malware, il che impedisce di utilizzare i domini come indicatori di compromissione (IoC). Ponmocup è altresì in grado di rubare credenziali FTP e di Facebook, che potrebbero essere utilizzate per diffondere ulteriormente le infezioni e aumentare la dimensione della botnet.

Gli esperti ritengono difficile determinare esattamente la quantità di denaro ricavata finora dai criminali informatici mediante la botnet Ponmocup, ma si stima che si tratti di un business di svariati milioni di dollari, considerando il livello di sofisticazione del malware e dell’infrastruttura di Comando & Controllo.

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Incremento degli attacchi verso sistemi ERP

27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning).Leggi tutto