Una settimana ricca di notizie: No-IP e il ritorno di Miniduke

Microsoft ha deciso d’intraprendere azioni legali nei confronti dell’azienda di web hosting NoIP, provocando alcuni danni collaterali. Ritorna la campagna APT Miniduke.

Notizie della settimana

Tra le notizie di questa settimana: Microsoft intraprende azioni legali nei confronti di No-IP, una compagnia di hosting che si crede ottenga profitti consentendo ai cybercriminali di utilizzare i propri servizi per diffondere malware. Inoltre, proprio questa settimana è riemersa l’APT Miniduke.

No-IP

No-IP è un provider di Domain Name System (DNS) dinamici. Offre agli utenti la possibilità di acquistare nomi di dominio per siti Internet come qualsiasi provider DNS. L’unica differenza è che i DNS dinamici consentono agli amministratori di aggiornare facilmente i nomi di dominio e gli indirizzi IP. Si tratta di una funzionalità davvero preziosa per i cybercriminali che cercano di non essere scoperti dai prodotti antivirus, i quali bloccherebbero gli indirizzi IP dei siti Internet che ospitano malware e che fungono da server per il controllo di una botnet. Purtroppo,  nonostante sia questa la situazione, ci sono molte aziende senza intenti criminali che utilizzano DNS dinamici e No-IP.

Microsoft ritiene che “No-IP sia proprietaria dell’infrastruttura utilizzata molte volte dai cybercriminali per infettare i dispositivi degli utenti mediante la famiglia di malware Bladabindi (NJrat) e Jenxcus (NJw0rm)”.

Microsoft ritiene che “No-IP sia proprietaria dell’infrastruttura utilizzata molte volte dai cybercriminali per infettare i dispositivi degli utenti mediante la famiglia di malware Bladabindi (NJrat) e Jenxcus (NJw0rm)”. No-IP rifiuta l’accusa di sostenere campagne di diffusione di malware.

Uno dei metodi utilizzati da Microsoft per contrastare queste operazioni criminali è richiedere un ordine di restrizione temporaneo, che consente all’azienda di appropriarsi dei domini, effettuare il sinkholing di quelli coinvolti in operazioni criminali e reindirizzare il traffico a domini controllati da Microsoft. Il sinkholing, di cui abbiamo già parlato in un altro articolo, è una tecnica comunemente accettata  per smantellare le botnet e altre operazioni illegali.

Secondo quanto spiegato su Threatpost, i ricercatori spesso lavorano con i provider di hosting per reindirizzare il traffico dai domini controllati dai malware a quelli gestiti dai ricercatori o dalle forze di polizia, e dare un taglio così alle operazioni illegali.  Il problema è che No-IP afferma di non essere mai stata contattata da Microsoft per questo problema.

Tutto ciò ha provocato scompiglio nella comunità della sicurezza informatica. Un motivo è piuttosto evidente: come è possibile che Microsoft, un’azienda privata e non un’agenzia governativa, abbia l’autorità di intraprendere questo tipo di azioni nei confronti di altre aziende private o gruppi di individui? Purtroppo, questa volta la situazione è ancora più grave, dal momento che Microsoft ha chiuso per sbaglio una serie di siti legittimi nel tentativo di eseguire queste misure risolutive.

Se volete approfondire l’argomento, potete dare un’occhiata all’articolo di Costin Raiu, del Global Research and Analysis Team di Kaspersky Lab.

Il ritorno di Miniduke

La campagna di Advanced Persistent Threat (APT) chiamata Miniduke è tornata.  Già nel febbraio dello scorso anno, i ricercatori di Kaspersky Lab hanno scoperto questa campagna malware, ai tempi impiegata per azioni di spionaggio rivolte soprattutto a governi europei.  Quando è stata scoperta, Miniduke era una APT unica nel suo genere per una serie di ragioni, tra cui il fatto che il malware si muoveva via Twitter e inviava file eseguibili (grazie ai quali poteva aggiornarsi) e infettava i dispositivi nascondendosi in file .gif.

La seconda ondata, analizzata nell’articolo su Securelist di martedì scorso, evidenzia che, in un anno, il malware è cresciuto esponenzialmente sia negli obiettivi che nella sua complessità. Oltre a colpire governi, installazioni militari o impianti di produzione energetica, questa campagna APT ruba dati da i negozi online illegali di medicinali, soprattutto quelli che vendono ormoni e steroidi. Inoltre, dopo aver rubato le informazioni più importanti dagli obiettivi designati, la campagna APT “spezzetta” queste informazioni e le sparpaglia, in modo tale che per i ricercatori risulti più difficile scoprire qualche traccia.

La nuova versione di Miniduke, chiamata Cosmicduke, ha in possesso nuovi strumenti per rubare maggiori informazioni e ottenere migliori risultati. Su Threatpost troverete ulteriori dettagli.

Consigli