L’impennata di attacchi informatici ha fatto emergere l’esistenza di reti enormi di dispositivi “zombie”. Cosa sono e perché si utilizzano.

Sulla cybersecurity una delle parole chiave più usate, soprattutto recentemente è “botnet”. Una evoluzione del malware mirai ha infatti usato una botnet per attaccare il provider Dyn e paralizzare i big di internet. Cosa sono esattamente questi dispositivi-zombie lo spiega Kaspersky Lab. Una botnet è un gruppo di dispositivi connessi a Internet che sono stati infettati da un malware speciale. Il tipo che crea le bot, o gli zombie, funziona di nascosto, acquisendo i diritti amministrativi e facendo in modo che i criminali informatici controllino il dispositivo senza far notare la propria presenza. Il “device” hackerato funziona come sempre (ma segue anche gli ordini di una botnet di tipo commander). Tutti i dispositivi infetti formano un’infrastruttura potente che viene utilizzata per commettere cybercrimes.

Le botnet sono le responsabili degli attacchi cibernetici più pericolosi

Alcune botnet di tipo commander si specializzano esclusivamente nel supporto e nella diffusione delle reti di dispositivi zombie. Danno in prestito questi strumenti ad altri criminali cibernetici che li usano per attaccare e per violare la cybersecurity. Il caso di Dyn è stato quello più pubblicizzato per la dimensione dell’offensiva, ma ne avvengono tanti altri ogni giorni in tutto il mondo. L’ultimo in ordine temporale è stato contro alcuni ministeri e l’Autorità dei trasporti dell’Arabia Saudita. Come si utilizzano le botnet? Essenzialmente per 4 tipologie di attacchi.

Gli attacchi DDoS

Il modo più conosciuto per utilizzare una botnet è organizzare un attacco distributed denial of service (DDoS). Una rete di dispositivi zombie sovraccarica semplicemente un server di richieste superflue. Questo non riesce a processarle e si blocca non permettendo di essere utilizzato dagli utenti regolari. Più dispositivi sono connessi a una botnet, più potente sarà un attacco DDoS alla cybersecurity di un bersaglio. Il punto è che quasi tutti i dispositivi connessi a Internet possono essere utilizzati in un’offensiva informatica di questo tipo; inclusi quelli teoricamente lontani dal web, come frigoriferi, stampanti wi fi o telecamere di sorveglianza (Internet of Things, IoT). Peraltro, questi dispositivi aumenteranno quasi esponenzialmente in futuro. Il problema, però, è che spesso non sono adeguatamente protetti. Di conseguenza sono facili preda del cybercrime.

Lo Spam

Il cybercrime utilizza botnet per le camppagne di spam. I dispositivi zombie – come spiega Kaspersky – infatti, vengono attivati per far commettere errori ai provider e alle agenzie specializzate. Queste si occupano di bloccano le mail e gli indirizzi IP per fermare il flusso di spam. Quando un computer viene infetto, i criminali cibernetici usano la mail del proprietario per inviare spam. Inoltre, aggiungono i contatti dell’e-mail danneggiata ai propri database di spam. Questa è la spiegazione perché capita di ricevere posta di questo tipo da indirizzi di contatti, conoscenti o amici, che tradizionalmente consideriamo sicuri e affidabili.

Furto di dati e “reclutamento” dei dispositivi

Le botnet sono usate dal cybercrime anche per rubare dati dai dispositivi hackerati. Il malware che fa diventare il computer una bot può avere una serie di altre funzionalità. Non solo compromettere la cybersecurity di un bersaglio. A volte ruba le password per il mobile e l’Internet banking. Alcuni Trojan possono anche cambiare le pagine Web nel browser per rubare dati finanziari come il codice PIN della carta di credito. Infine, le botnet sono utilizzate come “scout”: cioè cercare nuovi dispositivi vulnerabili per infettarli con altri Trojan, virus e malware speciali. Ciò al fine di inglobarli in una rete di dispositivi zombie.

Come proteggersi?

Kaspersky identifica 6 semplici regole che possono ridurre il rischio di infezione e di conseguenza, che i propri dispositivi entrano a far parte di una botnet. La prima è cambiare le password di default di tutti i propri router, webcam, stampanti, elettrodomestici intelligenti e degli altri dispositivi connessi. Poi bisogna installare sempre gli aggiornamenti del firmware e della sicurezza per il proprio sistema operativo e per il software. La terza regola è di non utilizzare l’account amministrativo sul PC o portatile personale. A questo proposito è buona norma non tenere sempre attivo l’accesso al root sui dispositivi mobili o, meglio ancora, non utilizzarlo.

Attenzione quando si scaricano file da internet

Il quarto suggerimento è di prestare attenzione quando si scarica qualcosa da siti web di terzi (soprattutto se si tratta contenuto pirata). Il cybercrime spesso diffonde file dannosi come giochi o software hackerati con l’obiettivo di diffondere malware botnet-oriented. La quinta regola è in caso si scarichi dai tracker torrent o da siti poco sicuri di scansionare tutti i file con un buon programma antivirus. Infine, si consiglia di installare una soluzione di sicurezza affidabile e di prestare attenzione alle notifiche di azioni sospette.