Gli esperti di sicurezza di Imperva hanno individuato una nuova botnet, denominata KashmirBlack, che si ritiene abbia già infettato centinaia di migliaia di siti Web sfruttando le vulnerabilità nelle loro piattaforme CMS (Content Management System).
La botnet KashmirBlack, attiva almeno da novembre 2019, infetta principalmente le piattaforme CMS più diffuse e utilizza dozzine di vulnerabilità note sui server delle vittime, eseguendo in media milioni di attacchi al giorno su migliaia di vittime in più di 30 paesi diversi in tutto il mondo.
La sua ben progettata infrastruttura, composta da nove tipi di entità ciascuna delle quali svolge un ruolo specifico nella complessa operazione botnet, semplifica l’espansione e l’aggiunta di nuovi exploit o payload e utilizza metodi sofisticati per mimetizzarsi, rimanere inosservato e proteggere il proprio funzionamento. Ha un’operazione complessa gestita da un server C&C (Command and Control) e utilizza più di 60 server surrogati come parte della sua infrastruttura. Gestisce centinaia di bot, ciascuno dei quali comunica con il C&C per ricevere nuovi bersagli, eseguire attacchi di brute force, installare backdoor ed espandere le dimensioni della botnet.
Lo scopo principale di KashmirBlack è abusare delle risorse dei sistemi compromessi per l’estrazione di criptovaluta e reindirizzare il traffico legittimo di un sito alle pagine di spam.
Sebbene i ricercatori non hanno rilevato il numero esatto di bot nella botnet, hanno dedotto le dimensioni dai dati raccolti e sospettato che si trovi nella regione di centinaia di migliaia di bot.
“285 (diffusione degli IP dei bot che abbiamo visto nei nostri dati) * 240 (vittime attaccate) = circa 70.000 (attacchi dei server delle vittime al giorno). Supponendo che solo l’1% degli attacchi abbia successo, significa che ogni giorno vengono aggiunti circa 700 bot alla botnet. L’operazione è continuata per almeno 11 mesi – circa 330 giorni. Senza considerare che il numero di attacchi aumenta in modo esponenziale ogni giorno, nell’arco di 11 mesi avremo quanto segue: 330 (giorni) * 700 (bot al giorno) = 230.000 bot.
I 285 IP che abbiamo identificato come bot di diffusione KashmirBlack che hanno attaccato i nostri clienti sono probabilmente solo una frazione dell’intera botnet, quindi il potenziale di questa crescita è molto più grande, si legge nel report.
https://www.imperva.com/blog/crimeops-of-the-kashmirblack-botnet-part-i/
https://securityaffairs.co/wordpress/110014/cyber-crime/kashmirblack-botnet.html
