skip to Main Content

Cybercrime: WatchDog infetta dispositivi Windows e Linux da almeno 2 anni

di Pierguido Iezzi

WatchDog da almeno due anni infetta dispositivi Windows e Linux, rendendosi protagonista di uno degli attacchi di cryptojacking (su criptovaluta Monero) più grandi della storia

Di recente è stato rilevato un “nuovo” malware, denominato WatchDog, che per ben 2 anni è riuscito ad agire di soppiatto, sottraendosi al radar dei ricercatori di cybersecurity diventando così protagonista di uno degli attacchi di cryptojacking (su criptovaluta Monero) più grandi della storia. L’offensiva del cybercrime sembra si sia protratta anche per tutto febbraio 2021 e, viste le dimensioni e la portata dell’infrastruttura, si auspica un contenimento e una risoluzione difficili da attuare in tempi ragionevoli. Sulla base dei dati raccolti finora, gli aggressori avrebbero compromesso almeno 476 dispositivi Windows e Linux al fine di sviare le risorse di sistema per minare la criptovaluta Monero. Tale offensiva, per essere funzionale, richiede l’accesso da root sui dispositivi compromessi al fine di rilasciare e impiantare il malware. Nonostante finora tali credenziali siano state utilizzate solo per il cryptojacking, ovvero la pratica criminale che dirotta le capacità di calcolo di un computer infetto per minare criptovaluta, è molto probabile che possano essere utilizzate anche per sottrarre dati sensibili alle vittime.

Chi si nasconde dietro WatchDog?

Risulta subito evidente quanto gli operatori del cybercrime dietro a WatchDog siano preparati dal punto di vista tecnico e quanto abbiano goduto di una certa nonchalance da parte dei team di ricerca (questo soprattutto in quanto le loro operazioni sono state rilevate solo di recente). Anche se al momento non ci sono prove di ulteriori violazioni di sistemi su cloud è impossibile escludere evoluzioni negative in tal senso.

Quanto denaro riesce a estrarre il malware?

Il criptomining si muove solitamente in 2 direzioni: l’accesso al dispositivo della vittima può essere impiegato al fine di utilizzare le risorse di calcolo per minare criptovalute oppure per sottrarle dai portafogli virtuali di proprietà delle vittime. Dal lancio del malware, avvenuto il 27 gennaio 2019, le attività di WatchDog hanno determinato la raccolta di almeno 209 criptomonete Monero (XMR) per un valore attuale superiore a 30.000 $. Anche se tale cifra potrebbe sembrare di poco conto, ciò che importa, in una visione più ampia, non è tanto il controvalore attuale, ma il numero totale di XMR estratti. Vista la volatilità del valore e la limitatezza delle criptovalute emesse, è ragionevole aspettarsi che il controvalore sia destinato in futuro ad un aumento vertiginoso.

Come avviene l’attacco?

Dal punto di vista tecnico, WatchDog è composto da un set binary sviluppato in Go suddiviso in tre parti e un file script PowerShell. Go è un linguaggio di programmazione open-source, già utilizzato da vari cybercriminali per portare avanti vari attacchi di tipo cryptojacking. I binaries di WatchDog svolgono ognuno una funzione specifica, con l’obiettivo finale di esercitare un processo costante di mining senza sovraccarichi o interruzioni inaspettate. La scelta del linguaggio di programmazione non è casuale, Go, infatti, permette un perfetto funzionamento su diversi sistemi operativi. L’innesco proviene dal binary networkmanager e, una volta identificato un target vulnerabile, il malware prova a compromettere il sistema identificato utilizzando un solido set di exploit integrati.

Il cryptominer ha una potenza di fuoco molto superiore ai suoi predecessori come Smominru

Per fare un raffronto, si tratta di 32 exploit, ben più dei soliti 2 di altri miner come Smominru, attivo dal 2017 al 2018. Inoltre, WatchDog è molto più elusivo comparato ad altri malware suoi simili, come il wormable Graboid. In quest’ultimo caso si tratta di un malware scoperto l’anno scorso, resosi protagonista dell’operazione di mining più grande riscontrata finora in termini di numero totale di sistemi attivi. Nonostante l’attività intensa, Graboid è rimasto operativo per soli 3 mesi prima del suo smantellamento. WatchDog, dall’altra parte, si sta dimostrando molto più duraturo e più strutturato, il che indica che sarà molto più complesso liberarsene. Si parla in totale di 18 endpoint root IP e 7 domini, che contengono almeno 125 indirizzi URL dannosi utilizzati per scaricare gli strumenti impiegati nelle macchine target.

Cryptojacking: un fenomeno in preoccupante ascesa

Le “gesta” di WatchDog fanno notizia proprio in un momento storico in cui il tema delle criptovalute sta facendo il boom, con un crescente interesse da parte dei mass media e di una fascia di popolazione sempre più ampia. In generale, i prezzi delle criptovalute minori seguono quelli del leader Bitcoin, che ha fatto registrare proprio a febbraio 2021 il suo massimo storico con un controvalore superiore a 50.000 $. Seguendo tale valore, anche Monero (XMR) ha aumentato la sua capacità attrattiva, passando da più di 150 $ a oltre 250 $ nel giro di poche settimane (ancora lontano dal valore massimo fatto registrare a gennaio 2018 di quasi 470 $). I cyber criminali monitorano costantemente il valore delle criptovalute e in particolare dell’XMR. Negli ultimi 6 mesi, infatti, diversi ricercatori di sicurezza hanno registrato un aumento del 40% del traffico nelle public mining pools (ovvero bacini di mining pubblici), Questo significa che le operazioni di mining sono in costante aumento e tale tendenza, con l’aumento del controvalore delle criptovalute, potrebbe rafforzarsi e crescere a dismisura.

Kaspersky rileva una diminuzione degli attacchi DDoS, ma parallelamente una crescita di quelli per fare cryptomining

Gli esperti di cybersecurity di Kaspersky, nell’ultimo trimestre del 2020, ha registrato una diminuzione degli attacchi distributed denial-of-service (DDoS), con un calo del 31%, affiancato però parallelamente da un aumento delle offensive basate su cryptomining. Queste statistiche e, più in generale, le continue evoluzioni del mercato dimostrano come le organizzazioni cyber criminali si muovano sempre più come vere e proprie aziende, in costante ricerca del massimo ROI.

Non abbassiamo la guardia!

Back To Top