Che si tratti di violazioni dei dati su Facebook o di attacchi ransomware globali, il crimine informatico è un grosso problema. Malware e ransomware vengono sempre più utilizzati dai malintenzionati per sfruttare le macchine delle persone a loro insaputa per una serie di motivi.
Che cos’è il comando e il controllo?
Un metodo popolare utilizzato dagli aggressori per distribuire e controllare il malware è “comando e controllo”, chiamato anche C2 o C&C. Questo è quando i malintenzionati utilizzano un server centrale per distribuire di nascosto malware ai computer delle persone, eseguire comandi al programma dannoso e prendere il controllo di un dispositivo.
C&C è un metodo di attacco particolarmente insidioso perché un solo computer infetto può distruggere un’intera rete. Una volta che il malware si è eseguito su una macchina, il server C&C può ordinargli di duplicarsi e diffondersi, il che può accadere facilmente, perché ha già superato il firewall di rete.
Una volta che la rete è stata infettata, un utente malintenzionato può spegnerla o crittografare i dispositivi infetti per bloccare gli utenti. Gli attacchi ransomware WannaCry nel 2017 hanno fatto esattamente questo, infettando i computer di istituzioni critiche come gli ospedali, bloccandoli e chiedendo un riscatto in bitcoin.
Come funziona C&C?
Gli attacchi C&C iniziano con l’infezione iniziale, che può avvenire attraverso canali come:
- e-mail di phishing con collegamenti a siti Web dannosi o contenenti allegati caricati con malware.
- vulnerabilità in alcuni plugin del browser.
- scaricare software infetto che sembra legittimo.
Il malware viene intrufolato oltre il firewall come qualcosa che sembra benigno, come un aggiornamento software apparentemente legittimo, un’e-mail dal suono urgente che ti informa che c’è una violazione della sicurezza o un file allegato innocuo.
Una volta che un dispositivo è stato infettato, invia un segnale al server host. L’autore dell’attacco può quindi assumere il controllo del dispositivo infetto nello stesso modo in cui il personale di supporto tecnico potrebbe assumere il controllo del computer durante la risoluzione di un problema. Il computer diventa un “bot” o uno “zombie” sotto il controllo dell’attaccante.
La macchina infetta quindi recluta altre macchine (nella stessa rete o con cui può comunicare) infettandole. Alla fine, queste macchine formano una rete o “botnet” controllata dall’attaccante.
Questo tipo di attacco può essere particolarmente dannoso in un ambiente aziendale. I sistemi infrastrutturali come i database degli ospedali o le comunicazioni di risposta alle emergenze possono essere compromessi. Se un database viene violato, possono essere rubati grandi volumi di dati sensibili. Alcuni di questi attacchi sono progettati per essere eseguiti in background per sempre, come nel caso di computer dirottati per estrarre criptovalute all’insaputa dell’utente.
Strutture C&C
Oggi, il server principale è spesso ospitato nel cloud, ma in passato era un server fisico sotto il diretto controllo dell’aggressore. Gli aggressori possono strutturare i propri server C&C in base a diverse strutture o topologie:
- Topologia a stella: i bot sono organizzati attorno a un server centrale.
- Topologia multi-server: vengono utilizzati più server C&C per la ridondanza.
- Topologia gerarchica: più server C&C sono organizzati in una gerarchia a livelli di gruppi.
- Topologia casuale: i computer infetti comunicano come una botnet peer-to-peer (botnet P2P).
Gli aggressori hanno utilizzato il protocollo IRC (Internet Relay Chat) per i precedenti attacchi informatici, quindi oggi è ampiamente riconosciuto e protetto. C&C è un modo per gli aggressori di aggirare le misure di sicurezza mirate alle minacce informatiche basate su IRC.
Fino al 2017, gli hacker hanno utilizzato app come Telegram come centri di comando e controllo per i malware. Un programma chiamato ToxicEye, che è in grado di rubare dati e registrare persone a loro insaputa tramite i loro computer, è stato trovato in 130 casi proprio quest’anno.
Cosa possono fare gli aggressori una volta che hanno il controllo
Una volta che un utente malintenzionato ha il controllo di una rete o anche di una singola macchina all’interno di tale rete, può:
- rubare dati trasferendo o copiando documenti e informazioni sul proprio server.
- costringere una o più macchine a spegnersi o riavviarsi continuamente, interrompendo le operazioni.
- condurre attacchi DDoS (Distributed Denial of Service).
Come proteggersi
Come per la maggior parte degli attacchi informatici, la protezione dagli attacchi C&C si riduce a una combinazione di buona igiene digitale e software di protezione. Dovresti:
- imparare i segni di un’e-mail di phishing.
- attenzione a fare clic su collegamenti e allegati.
- aggiorna regolarmente il tuo sistema ed esegui un software antivirus di qualità.
- considera l’utilizzo di un generatore di password o prenditi il tempo per trovare password univoche. Un gestore di password può crearle e ricordarle per te.
La maggior parte degli attacchi informatici richiede all’utente di fare qualcosa per attivare un programma dannoso, come fare clic su un collegamento o aprire un allegato. Avvicinarsi a qualsiasi corrispondenza digitale con questa possibilità in mente ti manterrà più sicuro online.
RELAZIONATO: Qual è il miglior antivirus per Windows 10? (Windows Defender è abbastanza buono?)
