Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Smantellata la botnet Mumblehard

backdoor  botnet  Mumblehard  spam   lunedì, 11 aprile 2016

ESET, in collaborazione con la Cyber Polizia Ucraina e CyS Centrum LLC, è riuscita ad effettuare il “takedown” della botnet Mumblehard, bloccando tutte le sue attività di spam a partire dal 29 Febbraio 2016.

Come già riportato dal CERT Nazionale circa un anno fa, Mumblehard è una famiglia di malware per sistemi Linux e BSD che installa una backdoor che fornisce agli attaccanti pieno accesso ai sistemi infetti, consentendo l’esecuzione di codice arbitrario. Il malware comprende anche un modulo proxy generico e un modulo per l’invio di grandi quantità di messaggi di spam, tramite comandi ricevuti dai server C&C.

ESET aveva già messo all’epoca a disposizione un white paper contenente un’analisi dettagliata di questo malware.

Allo scopo di stimare la dimensione e la distribuzione della botnet, i ricercatori ESET avevano anche registrato un dominio che fungeva da server C&C per la componente backdoor di Mumblehard. Ciò ha spinto gli autori del malware a ridurre il numero dei server C&C ad uno, situato in Ucraina, sotto il diretto controllo degli attaccanti.

Grazie alla collaborazione fra ESET e le forze di polizia Ucraine, questo server è stato smantellato il 29 febbraio 2016 e sostituito con un sinkhole gestito da ESET. I dati raccolti nel mese successivo hanno consentito di individuare quasi 4000 sistemi Linux compromessi con il bot Mumblehard. Stando a quanto riportato da ESET, il numero di infezioni sta lentamente diminuendo.

ESET condivide i dati raccolti sulle infezioni di Mumblehard con il CERT-Bund, che a sua volta notifica le parti interessate in tutto il mondo attraverso i rispettivi CERT. Nel mese di aprile il CERT Nazionale ha ricevuto notizia della presenza sul nostro territorio di circa 150 sistemi infetti da Mumblehard che ha provveduto a segnalare ai rispettivi ISP responsabili.

Notizie correlate

“CookieMiner”: scoperto malware per il furto di criptovalute su sistemi macOS

1 febbraio 2019

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto il malware per macOS CookieMiner, progettato per "rubare" i cookie associati a siti Web per lo scambio di criptovalute.Leggi tutto

“DarthMiner”: malware per macOS con funzioni di backdoor e cryptominer

11 dicembre 2018

I ricercatori di sicurezza di Malwarebytes hanno individuato un nuovo malware per macOS, battezzato DarthMiner, che combina le funzionalità della backdoor EmPyre e del cryptominer XMRig.Leggi tutto

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto