La nuova botnet Gorilla scatena oltre 300.000 attacchi DDoS in 100 paesi
La sicurezza informatica sta affrontando una nuova minaccia, e il suo nome è Gorilla, altrimenti noto come GorillaBot. Questa botnet, una variante della famigerata botnet Mirai, ha scatenato un torrente di attacchi Distributed Denial-of-Service (DDoS), superando i 300.000 attacchi in 100 paesi nel giro di poche settimane. Secondo la società di sicurezza informatica NSFOCUS, questa incessante ondata di attacchi si è verificata tra il 4 e il 27 settembre 2024, creando scompiglio a livello globale.
Table of Contents
L'estensione della portata della botnet Gorilla
In poco meno di un mese, la botnet Gorilla ha emesso una media di 20.000 comandi di attacco DDoS al giorno. Paesi come Stati Uniti, Cina, Canada e Germania sono emersi come i suoi obiettivi principali, con un'ampia gamma di settori (università, fornitori di telecomunicazioni, banche e persino l'industria del gioco d'azzardo e del gioco d'azzardo) colpiti. Ciò che rende tutto ciò ancora più allarmante è la portata con cui questi attacchi si stanno verificando.
La botnet utilizza principalmente vari vettori di attacco, tra cui UDP flood, ACK BYPASS flood, Valve Source Engine (VSE) flood, SYN flood e ACK flood. Questi metodi sono progettati per sopraffare i sistemi presi di mira con il traffico, rendendo difficile, se non impossibile, il loro normale funzionamento. Di particolare preoccupazione è l'uso di attacchi UDP flood, che sfruttano la natura senza connessione del protocollo UDP per generare una quantità enorme di traffico falsificando gli indirizzi IP sorgente.
Un malware altamente sofisticato
Oltre al suo volume, ciò che distingue la botnet Gorilla è la sua sofisticatezza. La botnet è progettata per funzionare su più architetture CPU, tra cui ARM, MIPS, x86_64 e x86, consentendole di infiltrarsi in un'ampia gamma di dispositivi. Una volta che il malware infetta un sistema, si connette a uno dei cinque server di comando e controllo (C2) predefiniti per ricevere nuovi comandi DDoS.
Inoltre, il malware sfrutta una vulnerabilità nota in Apache Hadoop YARN RPC, un difetto che è stato sfruttato dal 2021. In questo modo, la botnet Gorilla ottiene l'esecuzione di codice remoto sui dispositivi infetti, il che le consente di mantenere il controllo a lungo termine su questi sistemi. La persistenza è garantita dalla creazione di file di servizio che eseguono automaticamente uno script shell ogni volta che il sistema si avvia o un utente effettua l'accesso.
Strategie di contro-rilevamento
Ciò che preoccupa davvero di Gorilla è quanto bene riesce a eludere il rilevamento. Secondo NSFOCUS, la botnet impiega tecniche di crittografia per oscurare informazioni chiave, rendendo difficile per i professionisti della sicurezza informatica rilevare e neutralizzare il malware. Prende anche in prestito metodi di crittografia dal gruppo Keksec, un noto collettivo noto per lo sviluppo di malware mirati a dispositivi IoT e sistemi cloud. La combinazione di queste strategie consente alla botnet Gorilla di mantenere il controllo sui dispositivi infetti per lunghi periodi senza essere rilevata.
Perché dovresti preoccuparti
La rapida espansione della botnet Gorilla e la sua capacità di effettuare attacchi DDoS su larga scala in una gamma così ampia di settori la rendono una minaccia formidabile per aziende, governi e individui. Poiché i dispositivi IoT diventano sempre più comuni nelle case e nelle industrie, il rischio di attacchi guidati da botnet continua a crescere. Per le organizzazioni, in particolare quelle nei settori presi di mira, adottare misure immediate per rafforzare le difese di sicurezza informatica è fondamentale per mitigare questo tipo di attacchi.
L'emergere della botnet Gorilla è un duro promemoria del fatto che le minacce informatiche si stanno evolvendo, diventando più aggressive e sofisticate. Che tu sia un individuo che gestisce dispositivi IoT a casa o un'azienda che gestisce infrastrutture critiche, restare al passo con queste minacce richiede una vigilanza costante e misure di sicurezza informatica proattive. Con botnet come Gorilla in circolazione, non è il momento di essere compiacenti.
Le organizzazioni dovrebbero collaborare a stretto contatto con le aziende di sicurezza informatica e rimanere aggiornate sulle ultime vulnerabilità e minacce per proteggere le proprie reti.
