Independence Day: il giorno dopo

Contrariamente alle allusioni fatte da qualcuno sul recente attacco DDoS sferrato nei confronti di diversi portali governativi degli Stati Uniti e della Corea del Sud, dietro gli artefici di siffatta azione non ci sarebbero le autorità della Corea del Nord, bensì il tutto avrebbe avuto origine dalla Gran Bretagna, senza peraltro dover ipotizzare un boicottaggio politico.

La vicenda risale proprio alla festa dell’”Independence Day”, data in cui una botnet di oltre 160.000 postazioni – da oltre 74 Paesi – infettate da una variante dello storico “Mydoom” (ormai vanta ben cinque compleanni) hanno iniziato a bersagliare fino al collasso, sul versante americano, siti web del calibro dei Dipartimenti dei Trasporti e del Tesoro e della Federal Trade Commission, mentre su quello asiatico della Corea del Sud, l’home page del Presidente e dell’Assemblea Nazionale e, per concludere in maniera equa, anche la risorsa web delle Forze armate americane di stanza in Corea è caduta sotto il fuoco nemico.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

A scoprire l’origine della malefatta è stato il direttore della divisione sicurezza del Bach Khoa Internetwork Security Center, Nguyen Minh Duc, che ha dichiarato di essere riuscito a prendere il controllo di due degli otto server ai quali randomicamente i PC zombie si collegavano per avere istruzioni.
Attraverso questi è stato in grado di individuare il numero IP associato al server master che farebbe parte di un range di numerazione assegnato alla Global Digital Broadcast, realtà inglese che gestisce in ambito mondiale una piattaforma di IPTV.

L’azienda in questione, che avrebbe individuato il punto di compromissione in una VPN dislocata a Miami, contattata dalla “Serious Organised Crime Agency” di Londra, ha fornito ogni forma di collaborazione ai cyber-poliziotti, dando rassicurazioni circa la solidità della propria rete.
L’emergenza legata al disservizio causato dall’attacco DDoS è cessato ormai il 10 Luglio, proprio perché il malware – che ha “reclutato” i PC – è stato programmato per auto-distruggersi proprio per quella data attraverso l’esecuzione del file “wversion.exe”.

Leggi anche:  Il Report 2023 sul ransomware di Zscaler mostra un aumento di quasi il 40% degli attacchi ransomware a livello globale

Il problema però rimane in capo a coloro che si sono visti complici involontari ed inconsapevoli della scorribanda, perché, secondo un ricercatore, poco prima dello scoccare del 10 Luglio sarebbe stato rilasciato un aggiornamento – più agguerrito e distruttivo – del file “wversion.exe”.
Le istruzioni che vengono impartite, infatti, vanno a minare quasi irrimediabilmente i dati contenuti negli hard disk dei computer.
Ad essere intaccato è lo spazio riservato alle informazioni necessarie alla gestione del file system e delle partizioni, che viene sovrascritto da una stringa che recita “Memory of the Independence Day”.

Come se non si fosse inferito abbastanza sui poveri utenti, tutti i file tra 37 differenti estensioni – tra cui Adobe Acrobat, Word e Powerpoint – rinvenuti sul disco vengono compressi e protetti da password.

E, ancora non pago dei danni causati, va alla ricerca di tutti i drive collegati al sistema per poi sovrascriverne il primo megabyte.
Chi alcuni giorni fa ha provato il brivido di vedere la propria postazione inerte, probabilmente, dovrà sudare sette camicie per riappropriarsi dei propri dati.