SambaCry la nuova minaccia per sistemi Linux

Dopo le recenti vicende relative a WannaCry il potente malware che ha causato, in tutto il mondo, molti problemi con sistemi operativi Windows, sembra essere giunta anche la sua controparte destinata questa volta a Linux, denominata SambaCry.
Sono stati già numerosi, infatti, i casi accertati che hanno fatto preoccupare non poco gli addetti alla sicurezza informatica i quali hanno definito questo malware teoricamente anche più potente e pericoloso di WannaCry.
Le motivazioni, a quanto pare, risiederebbero in quelle che sono le caratteristiche specifiche di questo virus il quale presenta delle modalità d’azione molto più sofisticate e potenzialmente dannose.

Cos’è SambaCry?

Come appare subito evidente, SambaCry è classificabile come file Trojan vale a dire una specifica categoria di malware che hanno la capacità di farsi catalogare come inoffensivi dai sistemi operativi che infettano.
Nel caso di questo virus specifico, gli utenti interessati sono in particolar modo quelli che utilizzano sistemi operativi Linux e che si servono di Samba la piattaforma open source che permette la condivisione di file e stampanti a livello di rete locale.
Secondo gli esperti anche questo malware, così come la sua controparte WannaCry, sfrutta una falla presente nel Server Message Block andando ad infettare in maniera sistematica ed automatica tutte le macchine che sfruttano tale tipo di server.
Come già accennato, però, le modalità d’azione e i possibili danni causati da SambaCry sono potenzialmente molto più pericolosi rispetto ad altri tipi di malware.
La sua azione, infatti, è totalmente passiva. In particolare i cyber-criminali hanno puntato tutto su quella che è la potenza dei server utilizzati dai vari computer in modo tale da generare, in maniera totalmente automatica e all’insaputa della vittima, una particolare tipologia di cripto valuta denominata Monero la quale presenta delle caratteristiche molto simili al Bitcoin.
Ciò che preoccupa di più, però, è la facilità con la quale questo malware riesce ad infettare le macchine e la velocità con la quale questo avviene. Per prima cosa esso verifica la possibilità di accedere sul disco ricopiando al suo interno un file composto da 8 caratteri casuali. Se questa fase va a buon fine il virus procede con l’attacco cancellando il suddetto file e generando il payload il quale è visualizzato dall’utente come un plugin per Samba che, se attivato, da effettivamente il via all’attività di mining illecito.

La risposta di Kaspersky

Ad individuare SambaCry ci hanno pensato gli addetti alla sicurezza informatica di Kaspersky i quali sono stati i primi a comprenderne la strategia e le modalità d’azione specifiche. Secondo i loro report, i risultati che questo malware avrebbe ottenuto sarebbero per ora ancora scarsi in quanto si parla di una cifra che si aggira intorno ai $5.4000, generati in un periodo di oltre un mese.
Ciò che preoccupa di più, però, non sono tanto queste cifre, quanto le possibilità che SambaCry mette a disposizione dei cyber criminali. Grazie a INAebsGB.so, a vale a dire un secondo file installato in automatico insieme a quello che permette di “minare” in maniera automatica la cripto valuta, è possibile infatti assumere il totale controllo della macchina infetta andando ad acquisire dati utili, relativi l’identità o i codici bancari della vittima, o cancellando a proprio piacimento tutti i file contenuti all’interno del disco.
Nonostante la minaccia non sia affatto da poco, comunque, i responsabili di Kaspersky hanno rassicurato gli utenti sul numero di server vulnerabili a tale minaccia. Prima che essa venisse a galla, infatti, si parlava di circa 100.000 server in totale i quali presentavano le caratteristiche adeguate per subire un attacco.
Dopo che SambaCry è stato svelato, però, i tecnici si sono messi subito al lavoro rilasciando degli aggiornamenti appositi che hanno permesso, almeno fino a questo momento, di ridurre drasticamente il numero delle potenziali vittime.

LinuxmalwareMoneroSambaCry