Il malware Baldr è un mostro di Frankenstein formato da diversi frammenti di codice e, nonostante non sia più disponibile sul mercato (deep web), può essere ancora utilizzato da chi l’aveva precedentemente acquistato

Milano — 9月 3, 2019 —

Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha pubblicato un’approfondita ricerca condotta dai SophosLabs su Baldr, un “ladro d’informazioni” apparso per la prima volta a gennaio 2019. Il report, Baldr vs il Mondo, fornisce una visione sulla popolarità del malware e sulle sue uniche caratteristiche killchain. La ricerca analizza inoltre il funzionamento interno di Baldr, tra cui i comportamenti dei cybercriminali e i passi falsi avvenuti dal lato della vendita e dall’acquisto che hanno portato alla potenziale scomparsa dal deep web a giugno. 

Secondo i SophosLabs, chi ha sviluppato Baldr ha pensato di venderlo sul deep web come uno strumento entry-level per i cybercriminali che avrebbero attaccato, in primis, i PC gamer. Gli attacchi di Baldr però non si sono limitati ai gamer ma hanno iniziato a diffondersi su qualsiasi tipo di pc. 

Baldr, come diversi tipi di malware, utilizza frammenti di codici presi in prestito da altre famiglie di malware. Baldr, però, si spinge oltre: difatti è formato da parti di un gran numero di altri malware, rendendolo più simile a un "mostro di Frankenstein creato da frammenti di codice". 

La ragione principale per cui gli utenti dovrebbero fare attenzione a Baldr è la sua capacità di accedere velocemente ad un grande numero di informazioni, tra cui le password salvate, le cache, i file di configurazione, i cookie e altri file da un’ampia gamma di applicazioni. 

I SophosLabs hanno rintracciato attacchi in tutto il mondo, in particolare: 

  • Indonesia (21%)
  • Brasile (14,14%)
  • Russia (13,68%)
  • Stati Uniti (10,52%)
  • India (8,77%)

Baldr è scomparso dal mercato a giugno, apparentemente per una lite tra il creatore e il distributore. I SophosLabs prevedono che il malware ritornerà tra poco, probabilmente con un nuovo nome.

"Resta da vedere se Baldr sia stato solo una meteora, caduta vittima di una disputa tra cybercriminali o se tornerà come una minaccia a lungo termine. Tuttavia, la sua stessa esistenza è un esempio di come anche pezzi di codice malware rubati, cuciti insieme per creare un "mostro di Frankenstein", possono essere incredibilmente efficaci nell'irrompere, rubare tutto e poi scomparire. L'unico modo per fermare tali minacce è attuare pratiche di sicurezza di base, ma essenziali, che includono l'uso di software di sicurezza aggiornati", ha commentato Albert Zsigovits, un ricercatore sulle minacce di SophosLabs in Ungheria.

L’attacco ai gamer

I gamer, di solito, utilizzano sistemi più potenti e sono più inclini ad installare strumenti personalizzati, utility e applicazioni da diverse fonti, tutte queste caratteristiche li rendono delle vittime perfette per i cybercriminali. In particolare, le utility abilitano i “trucchi” che spesso usano dei processi simili a quelli di un malware, come la DLL injection, la modifica o l’inserimento di codice all’interno della memoria. Questi processi non solo possono destabilizzare il sistema, ma rischiano di rovinare l’esperienza di gioco ad altri giocatori.

“Nonostante Baldr sia attualmente non disponibile sul mercato (deep web), può essere ancora utilizzato dagli hacker che l’avevano precedentemente acquistato e rappresenta tutt’ora una minaccia. In generale, i gamer e gli utenti di pc dovrebbero prestare particolare attenzione ai malware e attuare contromisure per difendere i propri sistemi con soluzioni di sicurezza come Sophos Home, che analizza i giochi e i trucchi”, ha commentato Zsigovits.

Come proteggersi da Baldr

Per proteggersi da Baldr, gli utenti dovrebbero diffidare dalle pubblicità online che promettono “troppo”, se qualcosa sembra troppo bella per essere vera, probabilmente è una truffa. È importante usare sempre le migliori ed elementari pratiche di sicurezza e su ogni dispositivo. Le aziende possono avvalersi di una soluzione di sicurezza di livello enterprise che rileva i malware come Sophos Intercept X, che protegge anche dai ransomware. Sophos Home è perfetta per controllare i computer familiari e i videogiochi così da intercettare Baldr e altri malware. 

Sophos Home implementa un approccio di sicurezza a più livelli, combinando il rilevamento comportamentale, la protezione avanzata degli exploit, l'antivirus e il rilevamento statico basato sull'IA che lavorano in tandem per proteggere i giocatori. Inoltre, Sophos Home protegge i trasferimenti di file da siti di gioco e server sospetti analizzando il traffico di rete per rilevare il traffico dannoso e scansionando i file scaricati in tempo reale mentre vengono scritti nel file system. In combinazione con la protezione dai siti di phishing e le funzionalità di gestione remota, Sophos Home offre un approccio completo alla protezione che è la scelta di sicurezza ideale per i giocatori.

Infine, tutti gli utenti di computer dovrebbero essere più astuti per quanto concerne l’uso di password. Usare e cambiare di frequente password complesse, servirsi di un’unica password per la banca e altri servizi finanziari online oltre che a monitorare qualsiasi attività sospetta.

Deep Web

Il deep web (o web sommerso) è la terra di mezzo tra il surface web (dove navighiamo) e il dark web, dove si nascondono agiscono gli hacker. Poiché è più difficile accedere al dark web, i criminali informatici a volte vendono il loro malware sul deep web per raggiungere un pubblico più ampio (sì, i criminali informatici sono capitalistici come qualsiasi business leader) o i cybercriminali alle prime armi che cercano modi per guadagnare velocemente soldi. SophosLabs ritiene che questa fosse l'intenzione degli sviluppatori di Baldr.

ソフォスについて

ソフォスは、MDR (Managed Detection and Response) サービス、インシデント対応サービス、およびエンドポイント、ネットワーク、メール、クラウド セキュリティ テクノロジーの幅広いポートフォリオなど、サイバー攻撃を阻止する高度なセキュリティソリューションを提供する世界的なリーダーであり、革新的な企業です。ソフォスは、最大手のサイバーセキュリティ専門プロバイダーの 1つであり、全世界で 60万以上の組織と 1億人以上のユーザーを、アクティブな攻撃者、ランサムウェア、フィッシング、マルウェアなどから保護しています。ソフォスのサービスと製品は、Sophos Central 管理コンソールを介して接続され、企業のクロスドメイン脅威インテリジェンスユニットである Sophos X-Ops を利用しています。Sophos X-Ops のインテリジェンスは、Sophos ACE (Adaptive Cybersecurity Ecosystem) 全体を最適化します。このエコシステムには、お客様、パートナー、開発者、その他のサイバーセキュリティおよび情報技術ベンダーが利用できる豊富なオープン API セットを活用する一元化されたデータレイクが含まれます。ソフォスは、フルマネージド型のソリューションを必要とする組織に、Cyber​​security-as-a-Service を提供します。お客様は、ソフォスのセキュリティ運用プラットフォームを使用してサイバーセキュリティを直接管理することも、脅威ハンティングや修復などソフォスのサービスを使用して社内チームを補完するハイブリッドアプローチを採用することもできます。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じて販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com をご覧ください。