Il Threat Analyst Group (TAG) di Google ha comunicato di aver smantellato Glupteba, una sofisticata botnet che colpisce i computer Windows e utilizza una tecnologia blockchain come sistema di protezione e backup. Contestualmente l’azienda di Mountain View ha denunciato due russi e altre 15 persone, considerate i gestori della botnet.
Glupteba: botnet con blockchain
Il Google TAG ha interrotto l’operatività della botnet Glupteba, ma probabilmente gli operatori riusciranno a riguadagnare il controllo utilizzando un meccanismo di backup che sfrutta una blockchain Bitcoin. Come tutte le botnet, anche Glupteba è costituita da numerosi computer sui quali è stato installato un malware che permette il controllo remoto ai cybercriminali. I dispositivi vengono quindi utilizzati per eseguire attacchi di vario tipo.
Google ha rilevato circa un milione di computer Windows compromessi. Glupteba permette di rubare dati sensibili degli utenti (come credenziali di login e cookie) e di effettuare il mining delle criptovalute. Il malware viene principalmente distribuito tramite reti PPI (Pay Per Install) e software pirata pubblicato su vari siti che può essere scaricato tramite Torrent.
L’azienda di Mountain View ha eliminato circa 63 milioni di file Google Docs usati per distribuire Glupteba, 1.183 account Google, 908 progetti cloud e 870 account Google Ads. Inoltre sono stati avvisati circa 3,5 milioni di utenti con Safe Browsing, prima del download dei file infetti.
Grazie alla collaborazione con Cloudflare e altri hosting provider, Google ha smantellato i server che costituivano l’infrastruttura di comando e controllo. La botnet ha tuttavia un’architettura piuttosto complessa con un sistema di backup basato su blockchain che consente ai gestori di ripristinare i dati su altri server.
Google ha però individuato 17 membri della gang, tra cui i russi Dmitry Starovikov e Alexander Filippov, denunciati presso il tribunale di New York per frodi e abusi informatici, violazione di marchi e altri reati.