Sono quasi due milioni i computer tenuti in scacco da una sola banda di criminali informatici. A darne notizia è la società specializzata in sicurezza informatica Finjan, che ha da poco condotto una accurata ricerca su un ampio network di computer infetti controllati in remoto dal server di un gruppo di utenti malintenzionati. Stando alle prime informazioni, si tratterebbe della botnet più ampia controllata da una sola banda scovata online a partire dall’inizio dell’anno.
Il server cui fanno riferimento i computer infetti si trova in Ucraina e sembrano controllare l’intera botnet. Grazie alla presenza di cartelle aperte e accessibili sul dispositivo, gli esperti di sicurezza di Finjan sono riusciti a ottenere ulteriori dati sulla rete. In poco tempo, il numero di PC infetti ha raggiunto quota 1,95 milioni su scala globale che, presumibilmente all’insaputa dei loro possessori, eseguono i comandi ricevuti dall’Ucraina. Attraverso un semplice pannello a riga di comando, i criminali informatici possono inviare istruzioni e righe di codice all’interno della botnet, coordinando il lavoro dei bot.
Analizzando file e cronologie presenti nelle cartelle del server, gli esperti di sicurezza hanno ricostruito alcuni degli ordini inviati ai computer infetti come scaricare ed eseguire nuovo malware o modificare le proprietà o il contenuto di alcuni file. Alcuni tabulati dimostrano come i nuovi Trojan inviati verso le macchine comprese nella botnet non siano stati, nella maggior parte dei casi, rilevati dai sistemi antivirus ed abbiano dunque aggravato i problemi di sicurezza sui PC infetti.
Buona parte del nuovo malware inviato dal server identificato in Ucraina consente la gestione di alcune attività sui computer della botnet all’insaputa dei possessori dei sistemi. I programmi nocivi sono in grado di: leggere e ricopiare i dati sensibili presenti sui PC, comunicare con altri computer attraverso il protocollo HTTP, eseguire nuovi processi, inserire nuovo codice nei file di alcune applicazioni, forzare la visita di alcuni siti web e diverse altre funzioni sulle quali l’utente non può avere sostanzialmente alcun controllo.
Secondo i calcoli di Finjan, l’infezione dovrebbe essere iniziata durante il mese di febbraio, per poi intensificarsi durante il mese di marzo e le prime settimane di aprile. Il 45% dei computer infetti si trova negli Stati Uniti, mentre percentuali più basse sembrano interessare i paesi europei, dove sono stati colpiti anche i dispositivi di alcune istituzioni governative. La società di sicurezza ha segnalato il problema e i dettagli sul server incriminato in Ucraina alle autorità competenti. Salvo disguidi, la botnet da quasi due milioni di sistemi infetti dovrebbe avere i giorni contati.