Gli amministratori sono in carcere, ma la botnet Dridex/Bugat è ancora operativa

Le autorità statunitensi hanno avviato un’azione giudiziaria contro gli amministratori della botnet Dridex e dichiarato di aver smantellato l’associazione a delinquere a livello internazionale. Sembra però che le autorità non abbiano chiuso completamente l’elusiva botnet.

I ricercatori Avira riferiscono che la botnet appare ancora parzialmente operativa. “Ho testato il nostro Botchecker con un campione di ieri e ho scoperto che un nodo di primo livello rispondeva ancora e forniva il principale componente Dridex e una serie di nodi di secondo livello”, ha riferito Moritz Kroll, esperto di malware presso Avira.

Distruggere una botnet può essere difficile. “Sapevo dell’arresto di agosto. La botnet allora si è disattivata ma improvvisamente è ricomparsa in ottobre”, ha aggiunto. “Sarà interessante vedere se è veramente inattiva o no”.

Si pensa che la botnet abbia rubato almeno 10 milioni di dollari soltanto negli Stati Uniti. Lo smantellamento ha avuto portata internazionale: i due presunti amministratori della botnet erano moldavi, sono stati arrestati a Cipro e denunciati in Pennsylvania, USA.

Dridex aveva una portata globale. “La botnet era piuttosto attiva” ha dichiarato Ayoub Faouzi, esperto di malware presso Avira. “Abbiamo visto numerosi campioni di malware provenire da questa botnet”. Classificato da Avira come malware bancario. “Dridex era specializzato nel furto delle informazioni sensibili degli utenti e delle credenziali di accesso ai siti di home banking, per questo lo abbiamo tenuto d’occhio”, ha spiegato Faouzi.

Il Dipartimento di Giustizia statunitense ha classificato Dridex come “multifunction malware package” che utilizzava keylogger e web inject. Ha anche evidenziato il fatto che Dridex era stato studiato appositamente per sconfiggere gli antivirus e altre misure di protezione.

“Dridex utilizzava cryptor e packer per nascondersi” ha spiegato Kroll. “Lo abbiamo decodificato e siamo stati in grado di identificare i punti di ingresso nella botnet. E, compilando un botchecker per Dridex, abbiamo potuto utilizzare questa botnet come fonte automatica di nuovi IP C&C e componenti malware”.

 

Questo articolo è disponibile anche in: IngleseFrancese

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.