Durante il 2021 il Security Operation Center di Swascan, con il suo Cyber Threat Intelligence, ha scoperto che più di 95.000 dispositivi in Italia sono infetti da botnet.

Le botnet sono una minaccia sempre più comune e potenzialmente durante il 2022 potrebbero diffondersi ancora di più. Questo tipo di minaccia crea reti di computer infette che potenzialmente potrebbero captare tutto ciò che l’utente digita sulla tastiera.

Cos’è una botnet

Le botnet sono reti di dispositivi compromessi (computer, notebook, cellulari, tablet, apparati IOT), che passano sotto il controllo di un unico aggressore e vengono utilizzate per eseguire vari tipi di truffe e attacchi informatici. Il termine “botnet” proviene dall’unione delle parole “robot” e “rete”. La creazione da parte di criminal hacker di una botnet solitamente rappresenta la fase di infiltrazione di uno schema di attacco multi-layer. I bot fungono da strumento per automatizzare gli attacchi di massa, come il furto di dati, i crash di server e la distribuzione di malware.

Le botnet utilizzano i dispositivi di cui rubano l’accesso per truffare altre persone o causare interruzioni, il tutto senza il consenso dell’utente compromesso. Sostanzialmente, le botnet sono create per far aumentare, automatizzare e velocizzare la capacità di un hacker di eseguire attacchi di grandi dimensioni. Da una sola interfaccia, il criminal hacker può comandare ogni dispositivo della botnet per eseguire un’attacco combinato in modo simultaneo, e completamente da solo.

Una botnet è composta da due elementi principali. Un bot herder, che comanda un collettivo di dispositivi compromessi con comandi remoti. Una volta che i bot vengono raccolti, il bot herder usa il command programming per programmare le loro azioni successive.

Per bot, detti anche zombie computers, ci si riferisce a ciascun dispositivo infetto da malware del quale è stato preso il controllo per l’uso nella botnet. Questi dispositivi quindi operano seguendo i comandi progettati dal bot herder.

Una botnet viene creata attraverso normali malware. Si possono diffondere attraverso azioni di social engineering (malware allegato via e-mail o scaricato via app malevola) o attraverso azioni più complesse, come lo sfruttare le vulnerabilità di altri software. Una volta che il dispositivo viene infettato, il bot “fa rapporto” al server C2 e il bot herder a quel punto può estrapolare dati sensibili a suo piacimento.

Le fasi di furto delle credenziali sono quattro:

  1. Diffusione botnet e infezione
  2. Botnet viene attivata sul pc bersaglio
  3. Botnet scarica keylogger (applicazioni che raccolgono le credenziali)
  4. Le credenziali vengono compromesse

Botnet in Italia

Swascan ha identificato 95.991 dispositivi italiani compromessi da botnet. In particolare, questi dispositivi si erano connessi a “it-it.facebook.com” mentre erano sotto il controllo di botnet. Questa è un’informazione rilevante perché l’accedere a un social network come Facebook mentre si è infetti da botnet significa l’aver perso la privacy delle proprie credenziali non solo di Facebook, ma di qualsiasi altra credenziale abbiamo usato per i nostri servizi.

La conseguenza di rendere pubbliche e semipubbliche le proprie credenziali espone l’utente a diversi tipi di attacchi informatici, come il furto d’identità, l’account take over, operazioni di ricatti, e social engineering verso i propri contatti social. Per le aziende, i rischi comprendono ransomware, phishing e spearphishing, spionaggio e altri.

Dei 95.000 dispositivi, il Security Operation Center ha analizzato il 24% degli IP suddivisi per area geografica. La regione con il maggior numero di botnet è la Lombardia (ma va considerata la densità degli abitanti per ogni regione).

Come difendersi?

In primis, uno strumento di difesa importantissimo è l’autenticazione 2FA (a due fattori). Altre raccomandazioni sono mantenere sempre il sistema aggiornato, scansionare i download prima di aprirli e non aprire file sconosciuti, non cliccare su link sospetti e installare un antivirus di un vendor conosciuto ed affidabile.

Le aziende, invece, devono seguire i tre pilastri della cybersecurity, ovvero la Sicurezza Predittiva, Sicurezza Preventiva e Sicurezza Proattiva.

Questi tre elementi vanno a creare il Cyber Security Framework.

Per la Sicurezza Preventiva, si possono eseguire dei Vulnerability Assessment o dei Penetration test. In più, è anche possibile eseguire uno Phishing/Smishing attack Simulation.

Per la Sicurezza Predittiva, sono disponibili i servizi di Domain Threat Intelligence, Cyber Threat Intelligence e Early Warning Threat Intelligence.

Per la Sicurezza Proattiva, vi sono due tipi di servizi: SOCaaS (Security Operation Center as a Service) e Incident Response Management

Articolo precedenteRussia e Ucraina: la guerra è anche sulla cybersecurity
Articolo successivoTuttiMedia e Intesa Sanpaolo Innovation Center
Federico Giberti
Federico Giberti