Il malware Baldr è un mostro di Frankenstein formato da diversi frammenti di codice e, nonostante non sia più disponibile sul mercato (deep web), può essere ancora utilizzato da chi l’aveva precedentemente acquistato

Milano — Septiembre 3, 2019 —

Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha pubblicato un’approfondita ricerca condotta dai SophosLabs su Baldr, un “ladro d’informazioni” apparso per la prima volta a gennaio 2019. Il report, Baldr vs il Mondo, fornisce una visione sulla popolarità del malware e sulle sue uniche caratteristiche killchain. La ricerca analizza inoltre il funzionamento interno di Baldr, tra cui i comportamenti dei cybercriminali e i passi falsi avvenuti dal lato della vendita e dall’acquisto che hanno portato alla potenziale scomparsa dal deep web a giugno. 

Secondo i SophosLabs, chi ha sviluppato Baldr ha pensato di venderlo sul deep web come uno strumento entry-level per i cybercriminali che avrebbero attaccato, in primis, i PC gamer. Gli attacchi di Baldr però non si sono limitati ai gamer ma hanno iniziato a diffondersi su qualsiasi tipo di pc. 

Baldr, come diversi tipi di malware, utilizza frammenti di codici presi in prestito da altre famiglie di malware. Baldr, però, si spinge oltre: difatti è formato da parti di un gran numero di altri malware, rendendolo più simile a un "mostro di Frankenstein creato da frammenti di codice". 

La ragione principale per cui gli utenti dovrebbero fare attenzione a Baldr è la sua capacità di accedere velocemente ad un grande numero di informazioni, tra cui le password salvate, le cache, i file di configurazione, i cookie e altri file da un’ampia gamma di applicazioni. 

I SophosLabs hanno rintracciato attacchi in tutto il mondo, in particolare: 

  • Indonesia (21%)
  • Brasile (14,14%)
  • Russia (13,68%)
  • Stati Uniti (10,52%)
  • India (8,77%)

Baldr è scomparso dal mercato a giugno, apparentemente per una lite tra il creatore e il distributore. I SophosLabs prevedono che il malware ritornerà tra poco, probabilmente con un nuovo nome.

"Resta da vedere se Baldr sia stato solo una meteora, caduta vittima di una disputa tra cybercriminali o se tornerà come una minaccia a lungo termine. Tuttavia, la sua stessa esistenza è un esempio di come anche pezzi di codice malware rubati, cuciti insieme per creare un "mostro di Frankenstein", possono essere incredibilmente efficaci nell'irrompere, rubare tutto e poi scomparire. L'unico modo per fermare tali minacce è attuare pratiche di sicurezza di base, ma essenziali, che includono l'uso di software di sicurezza aggiornati", ha commentato Albert Zsigovits, un ricercatore sulle minacce di SophosLabs in Ungheria.

L’attacco ai gamer

I gamer, di solito, utilizzano sistemi più potenti e sono più inclini ad installare strumenti personalizzati, utility e applicazioni da diverse fonti, tutte queste caratteristiche li rendono delle vittime perfette per i cybercriminali. In particolare, le utility abilitano i “trucchi” che spesso usano dei processi simili a quelli di un malware, come la DLL injection, la modifica o l’inserimento di codice all’interno della memoria. Questi processi non solo possono destabilizzare il sistema, ma rischiano di rovinare l’esperienza di gioco ad altri giocatori.

“Nonostante Baldr sia attualmente non disponibile sul mercato (deep web), può essere ancora utilizzato dagli hacker che l’avevano precedentemente acquistato e rappresenta tutt’ora una minaccia. In generale, i gamer e gli utenti di pc dovrebbero prestare particolare attenzione ai malware e attuare contromisure per difendere i propri sistemi con soluzioni di sicurezza come Sophos Home, che analizza i giochi e i trucchi”, ha commentato Zsigovits.

Come proteggersi da Baldr

Per proteggersi da Baldr, gli utenti dovrebbero diffidare dalle pubblicità online che promettono “troppo”, se qualcosa sembra troppo bella per essere vera, probabilmente è una truffa. È importante usare sempre le migliori ed elementari pratiche di sicurezza e su ogni dispositivo. Le aziende possono avvalersi di una soluzione di sicurezza di livello enterprise che rileva i malware come Sophos Intercept X, che protegge anche dai ransomware. Sophos Home è perfetta per controllare i computer familiari e i videogiochi così da intercettare Baldr e altri malware. 

Sophos Home implementa un approccio di sicurezza a più livelli, combinando il rilevamento comportamentale, la protezione avanzata degli exploit, l'antivirus e il rilevamento statico basato sull'IA che lavorano in tandem per proteggere i giocatori. Inoltre, Sophos Home protegge i trasferimenti di file da siti di gioco e server sospetti analizzando il traffico di rete per rilevare il traffico dannoso e scansionando i file scaricati in tempo reale mentre vengono scritti nel file system. In combinazione con la protezione dai siti di phishing e le funzionalità di gestione remota, Sophos Home offre un approccio completo alla protezione che è la scelta di sicurezza ideale per i giocatori.

Infine, tutti gli utenti di computer dovrebbero essere più astuti per quanto concerne l’uso di password. Usare e cambiare di frequente password complesse, servirsi di un’unica password per la banca e altri servizi finanziari online oltre che a monitorare qualsiasi attività sospetta.

Deep Web

Il deep web (o web sommerso) è la terra di mezzo tra il surface web (dove navighiamo) e il dark web, dove si nascondono agiscono gli hacker. Poiché è più difficile accedere al dark web, i criminali informatici a volte vendono il loro malware sul deep web per raggiungere un pubblico più ampio (sì, i criminali informatici sono capitalistici come qualsiasi business leader) o i cybercriminali alle prime armi che cercano modi per guadagnare velocemente soldi. SophosLabs ritiene che questa fosse l'intenzione degli sviluppatori di Baldr.

Acerca de Sophos

Sophos es una empresa innovadora y líder global de soluciones de seguridad avanzadas para combatir los ciberataques, entre las que se incluyen servicios de detección y respuesta gestionadas (MDR) y de respuesta a incidentes y un amplio catálogo de tecnologías para la protección de endpoints, redes, el correo electrónico y la nube. Como uno de los mayores proveedores especializados en ciberseguridad, Sophos protege a más de 600 000 organizaciones y a más de 100 millones de usuarios de todo el mundo frente a adversarios activos, ransomware, phishing, malware y mucho más. Los servicios y productos de Sophos se conectan a través de la consola de administración de Sophos Central y utilizan Sophos X-Ops, la unidad de información sobre amenazas multidominio de la empresa. La información de Sophos X-Ops optimiza todo el Sophos Adaptive Cybersecurity Ecosystem, que incluye un lago de datos centralizado que se sirve de un completo conjunto de API abiertas disponibles para clientes, partners, desarrolladores y otros proveedores de ciberseguridad y de tecnología de la información. Para las organizaciones que necesitan soluciones de seguridad totalmente gestionadas, Sophos ofrece la ciberseguridad como servicio. Aunque los clientes también pueden gestionar su ciberseguridad directamente mediante la plataforma de operaciones de seguridad de Sophos o utilizar un enfoque híbrido reforzando sus equipos internos con los servicios de Sophos, que incluyen la búsqueda y remediación de amenazas. Sophos vende a través de partners distribuidores y proveedores de servicios gestionados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Encontrará más información en es.sophos.com.