News5 min
Microsoft Defender: Due Zero-Day Attive, Cosa
Due zero-day di Microsoft Defender sono ancora attive dopo il caso Nightmare-Eclipse. Il ricercatore ha pubblicato tre exploit su GitHub: uno è stato patchato, due no.
LeggiIl giorno in cui il server smise di rispondere
Era lunedì 14 aprile, le 9:47. Marco Ferraris, IT manager di un'azienda logistica vicino a Bologna, stava bevendo il secondo caffè della giornata quando il telefono iniziò a squillare senza sosta. Non uno, non due — ventitré chiamate perse in dieci minuti. Il centralino era paralizzato. I clienti non riuscivano a entrare nel portale web. Il sito e-commerce mostrava solo un errore.
«Pensavo fosse un problema del provider», mi racconta Marco tre giorni dopo, ancora provato. «Invece era molto peggio.
Il team di Marco scoprì che i server erano sotto attacco DDoS — Distributed Denial of Service. Ma la cosa strana era che il traffico non arrivava da centinaia di migliaia di IP diversi, come succede di solito. No, il pattern era diverso. Molti indirizzi IP riconducibili a dispositivi IoT: telecamere di videosorveglianza, DVR, router. Tutti compromessi. Tutti usati come armi contro di lui.
Quello che Marco non sapeva era che la sua azienda non era l'unica vittima. Quel giorno, in tutto il mondo, migliaia di organizzazioni stavano sperimentando lo stesso incubo. Il colpevole? Una nuova variante di un malware che conosciamo da quasi dieci anni: Mirai.
Il ritorno del mostro
Mirai non è nuovo. È nato nel 2016 come malware per infettare router e dispositivi IoT, trasformandoli in botnet per attacchi DDoS. Il caso più celebre è l'attacco che nel 2016 bloccò mezzo internet negli Stati Uniti, colpendo Dyn, un provider DNS fondamentale. Da allora, Mirai è stato clonato, modificato, riproposto in decine di varianti.
La nuova versione si chiama Nexcorium, ed è più subdola delle precedenti. Secondo i ricercatori di Fortinet FortiGuard Labs, Nexcorium sfrutta una vulnerabilità specifica — CVE-2024-3721 — nei DVR TBK, apparecchiature di videosorveglianza molto diffuse, soprattutto in Asia ma presenti anche in Europa e Italia.
Il problema è che molti di questi dispositivi non ricevono aggiornamenti da anni. I DVR TBK, in particolare, sono considerati end-of-life — il produttore non rilascia più patch. Stesso discorso per alcuni router TP-Link Wi-Fi, anch'essi finiti nel mirino di Nexcorium.
Il risultato? Una botnet che cresce ogni giorno, alimentata da dispositivi che nessuno controlla più.
Come funziona l'attacco
Ecco cosa succede nel dettaglio, passo dopo passo.
Il punto d'ingresso. Gli attacker identificano DVR TBK esposti su internet — spesso attraverso motori di ricerca specializzati come Shodan. Cercano porte aperte, servizi web con credenziali deboli o, come in questo caso, la vulnerabilità CVE-2024-3721. Questa falla permette l'esecuzione di codice remoto, senza bisogno di username e password.
L'infezione. Una volta identificato il bersaglio, Nexcorium invia un payload malevolo che sfrutta la falla. Il malware viene scaricato ed eseguito sul dispositivo. A differenza delle vecchie versioni di Mirai, Nexcorium è progettato per rimanere nascosto il più possibile: disattiva i log, modifica le impostazioni di rete, cerca di eliminare altri malware competitor.
Il recruiting. Il dispositivo infetto diventa parte della botnet. Riceve istruzioni da un server di comando e controllo (C2). A questo punto può essere usato per attacchi DDoS, per inviare spam, per propagare ulteriormente il malware ad altri dispositivi vulnerabili.
L'attacco. Quando il server C2 ordina un attacco, migliaia di dispositivi infetti inviano traffico contemporaneamente verso il bersaglio. È come se mille persone chiamassero lo stesso numero di telefono nello stesso momento: la linea si blocca.
La particolarità di Nexcorium è che non si limita ai router. I DVR TBK hanno molta più potenza di calcolo rispetto a un semplice router Wi-Fi. Possono generare molto più traffico. Sono sempre accesi. Sono spesso dimenticati, nascosti in un armadio o sul tetto, senza alcun monitoraggio.
Il costo nascosto
Per Marco e la sua azienda, l'attacco è costato caro. Non solo in termini di vendite perse — stimiamo qualche migliaia di euro nelle quattro ore di down. C'è anche il danno reputazionale: clienti che non riuscivano a tracciare le spedizioni, chiamate di reclamo, email di scuse.
Ma il vero problema è un altro. «Dopo l'attacco abbiamo dovuto fare una verifica completa», mi dice Marco. «Abbiamo scoperto che avevamo tre DVR TBK legacy che nessuno ricordava di aver installato. Erano lì da anni, con credenziali di default, esposti su internet. Era come avere tre porte di casa spalancate.»
Le conseguenze possono essere molto più gravi. Un'attacco DDoS ben organizzato può bloccare un'azienda per giorni. Le imprese colpite riportano perdite medie che variano dalle decine alle centinaia di migliaia di euro, a seconda del settore e della durata. E non parliamo solo di downtime: le botnet possono essere usate per attacchi più sofisticati, come il furto di dati o il cryptojacking.
Cosa puoi fare
La difesa inizia dalla consapevolezza. Ecco le lezioni principali.
Primo: inventario dei dispositivi. Sai quanti dispositivi sono connessi alla tua rete? Router, DVR, telecamere, stampanti, sensori IoT — tutto. Ogni dispositivo è un potenziale punto d'ingresso. Se non sai cosa hai, non puoi proteggerti.
Secondo: patch e aggiornamenti. I DVR TBK non ricevono più patch, è vero. Ma se hai dispositivi ancora supportati, aggiornali. Ogni giorno che passi senza patch è un giorno in cui la vulnerabilità può essere sfruttata.
Terzo: segmentazione di rete. I dispositivi IoT dovrebbero stare su reti separate dai server critici. Se un DVR viene compromesso, l'attaccante non dovrebbe poter raggiungere i tuoi database.
Quarto: monitoraggio. Strumenti come MailSniper possono aiutarti a rilevare attività anomale nelle comunicazioni email correlate a questi attacchi, ma la protezione dei dispositivi richiede soluzioni specifiche di network security.
Quinto: credenziali. Cambia le credenziali di default su tutti i dispositivi. Usa password complesse. Se possibile, disabilita l'accesso remoto ai dispositivi che non ne hanno bisogno.
La domanda che nessuno vuole fare
La storia di Marco non è un caso isolato. Migliaia di dispositivi vulnerabili sono ancora connessi a internet, in attesa di essere infettati. La domanda non è se la tua azienda verrà colpita — la domanda è quando.
E tu, quando hai controllato l'ultima volta i tuoi DVR?