Il malware Baldr è un mostro di Frankenstein formato da diversi frammenti di codice e, nonostante non sia più disponibile sul mercato (deep web), può essere ancora utilizzato da chi l’aveva precedentemente acquistato

Milano — Settembre 3, 2019 —

Sophos (LSE: SOPH), leader mondiale per la protezione delle reti e dell’endpoint, ha pubblicato un’approfondita ricerca condotta dai SophosLabs su Baldr, un “ladro d’informazioni” apparso per la prima volta a gennaio 2019. Il report, Baldr vs il Mondo, fornisce una visione sulla popolarità del malware e sulle sue uniche caratteristiche killchain. La ricerca analizza inoltre il funzionamento interno di Baldr, tra cui i comportamenti dei cybercriminali e i passi falsi avvenuti dal lato della vendita e dall’acquisto che hanno portato alla potenziale scomparsa dal deep web a giugno. 

Secondo i SophosLabs, chi ha sviluppato Baldr ha pensato di venderlo sul deep web come uno strumento entry-level per i cybercriminali che avrebbero attaccato, in primis, i PC gamer. Gli attacchi di Baldr però non si sono limitati ai gamer ma hanno iniziato a diffondersi su qualsiasi tipo di pc. 

Baldr, come diversi tipi di malware, utilizza frammenti di codici presi in prestito da altre famiglie di malware. Baldr, però, si spinge oltre: difatti è formato da parti di un gran numero di altri malware, rendendolo più simile a un "mostro di Frankenstein creato da frammenti di codice". 

La ragione principale per cui gli utenti dovrebbero fare attenzione a Baldr è la sua capacità di accedere velocemente ad un grande numero di informazioni, tra cui le password salvate, le cache, i file di configurazione, i cookie e altri file da un’ampia gamma di applicazioni. 

I SophosLabs hanno rintracciato attacchi in tutto il mondo, in particolare: 

  • Indonesia (21%)
  • Brasile (14,14%)
  • Russia (13,68%)
  • Stati Uniti (10,52%)
  • India (8,77%)

Baldr è scomparso dal mercato a giugno, apparentemente per una lite tra il creatore e il distributore. I SophosLabs prevedono che il malware ritornerà tra poco, probabilmente con un nuovo nome.

"Resta da vedere se Baldr sia stato solo una meteora, caduta vittima di una disputa tra cybercriminali o se tornerà come una minaccia a lungo termine. Tuttavia, la sua stessa esistenza è un esempio di come anche pezzi di codice malware rubati, cuciti insieme per creare un "mostro di Frankenstein", possono essere incredibilmente efficaci nell'irrompere, rubare tutto e poi scomparire. L'unico modo per fermare tali minacce è attuare pratiche di sicurezza di base, ma essenziali, che includono l'uso di software di sicurezza aggiornati", ha commentato Albert Zsigovits, un ricercatore sulle minacce di SophosLabs in Ungheria.

L’attacco ai gamer

I gamer, di solito, utilizzano sistemi più potenti e sono più inclini ad installare strumenti personalizzati, utility e applicazioni da diverse fonti, tutte queste caratteristiche li rendono delle vittime perfette per i cybercriminali. In particolare, le utility abilitano i “trucchi” che spesso usano dei processi simili a quelli di un malware, come la DLL injection, la modifica o l’inserimento di codice all’interno della memoria. Questi processi non solo possono destabilizzare il sistema, ma rischiano di rovinare l’esperienza di gioco ad altri giocatori.

“Nonostante Baldr sia attualmente non disponibile sul mercato (deep web), può essere ancora utilizzato dagli hacker che l’avevano precedentemente acquistato e rappresenta tutt’ora una minaccia. In generale, i gamer e gli utenti di pc dovrebbero prestare particolare attenzione ai malware e attuare contromisure per difendere i propri sistemi con soluzioni di sicurezza come Sophos Home, che analizza i giochi e i trucchi”, ha commentato Zsigovits.

Come proteggersi da Baldr

Per proteggersi da Baldr, gli utenti dovrebbero diffidare dalle pubblicità online che promettono “troppo”, se qualcosa sembra troppo bella per essere vera, probabilmente è una truffa. È importante usare sempre le migliori ed elementari pratiche di sicurezza e su ogni dispositivo. Le aziende possono avvalersi di una soluzione di sicurezza di livello enterprise che rileva i malware come Sophos Intercept X, che protegge anche dai ransomware. Sophos Home è perfetta per controllare i computer familiari e i videogiochi così da intercettare Baldr e altri malware. 

Sophos Home implementa un approccio di sicurezza a più livelli, combinando il rilevamento comportamentale, la protezione avanzata degli exploit, l'antivirus e il rilevamento statico basato sull'IA che lavorano in tandem per proteggere i giocatori. Inoltre, Sophos Home protegge i trasferimenti di file da siti di gioco e server sospetti analizzando il traffico di rete per rilevare il traffico dannoso e scansionando i file scaricati in tempo reale mentre vengono scritti nel file system. In combinazione con la protezione dai siti di phishing e le funzionalità di gestione remota, Sophos Home offre un approccio completo alla protezione che è la scelta di sicurezza ideale per i giocatori.

Infine, tutti gli utenti di computer dovrebbero essere più astuti per quanto concerne l’uso di password. Usare e cambiare di frequente password complesse, servirsi di un’unica password per la banca e altri servizi finanziari online oltre che a monitorare qualsiasi attività sospetta.

Deep Web

Il deep web (o web sommerso) è la terra di mezzo tra il surface web (dove navighiamo) e il dark web, dove si nascondono agiscono gli hacker. Poiché è più difficile accedere al dark web, i criminali informatici a volte vendono il loro malware sul deep web per raggiungere un pubblico più ampio (sì, i criminali informatici sono capitalistici come qualsiasi business leader) o i cybercriminali alle prime armi che cercano modi per guadagnare velocemente soldi. SophosLabs ritiene che questa fosse l'intenzione degli sviluppatori di Baldr.

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.