NetWitness, azienda che opera nel settore delle tecnologie avanzate per la rilevazione di minaccie persistenti e real-time su internet, ha annunciato in questi giorni che i suoi analisti hanno scoperto una nuova botnet ZeuS pericolosa che interessa 75.000 sistemi in 2.500 aziende in tutto il mondo.
L’infestazione  scoperta viene chiamata con nomignolo di botnet “Kneber” dal nome del fantomatico utente che è riuscito ad infettare sistemi di tutto il mondo.
Questa botnet raccoglie credenziali di accesso a sistemi finanziari online, a siti di social networking e a sistemi di posta elettronica, dai computer infestati e da la possibilità a chi gestisce i server back-end  di relazionare queste informazioni a scopo intrusivo e illegale, come irrompere in conti finanziari online, rubare informazioni aziendali e di governo, e replicare identità personali.
NetWitness ha scoperto per prima la “botnet Kneber” nel mese di gennaio durante una distribuzione di routine delle proprie avanzate soluzioni di monitoraggio. Da un esame più approfondito è emersa un ampia rete compromessa di aziende commerciali e sistemi legati in qualche modo ad organi di governo, cioè a dire 68.000 credenziali di accesso aziendali e di accesso ai sistemi di posta elettronica, siti di online banking, Facebook, Yahoo, Hotmail e altre credenziali di social networking, 2.000 file di certificati SSL, e interi dossier di dati personali e identità organizzati fraudolentemente a partire dalle macchine vittima.
Nel discutere la gravità della botnet Kneber, Amit Yoran, CEO di NetWitness ed ex direttore della National Cyber Security Division, ha fatto capire che il numero di aziende e organizzazioni compromesse è incredibile rispetto a qualsiasi altro botnet precedente. I problemi causati alle reti aziendali hanno raggiunto livelli epidemici altissimi. I Cyber criminali, la banda dietro a Kneber, hanno tranquillamente e diligentemente bersagliato e compromesso migliaia di organizzazioni di governo e commerciali di tutto il mondo. Le convenzionali misure di protezione da malware, gli attuali sistemi di rilevamento delle intrusioni sono state per definizione inadeguate nell’affrontare Kneber o altre minacce più avanzate. Organizzazioni concentrate sui loro programmi di sicurezza delle informazioni nel rispetto di procedure abituali di aggiornamento e che quindi non hanno tenuto il passo con i rapidi progressi della minaccia che da tempo agiva indisturbata, senza riuscire a vedere questo Trojan soltanto allorchè il danno è già avvenuto . I sistemi attaccati da questa botnet forniscono agli attaccanti non solo le credenziali di utenti e informazioni riservate, ma danno accesso remoto all’interno delle reti così compromesse.
Ma chi sta dietro Kneber? L’evidenza suggerisce una banda di hacker dell’Europa dell’Est, probabilmente utilizzando alcuni computer anche in Cina, perché è più facile operare senza essere catturati, ha detto Mr. Yoran di NetWitness.
Ci sono alcune impronte digitali elettroniche che suggeriscono che lo stesso gruppo era dietro un recente sforzo di ingannare funzionari del governo e altri con download di spyware tramite e-mail pretendendo di essere della National Security Agency o militari degli Stati Uniti.Tra i Paesi più colpiti dal cyber-attacco, troviamo l’Arabia Saudita, il Messico, gli USA, l’Egitto e la Turchia. Alla base di questo Trojan troviamo una vecchia conoscenza per i geek + informati: Il software free per il peer to peer che girà su internet dal nome imperativamente metafisico di “Zeus“, che è anche disponibile per lo scaricamento nella sua versione base. Inoltre, a quanto pare secondo la SecureWorks, questo software lavora con FireFox e abilità un sacco di funzioni. Netwitness dice che Kneber è una botnet ZeuS Trojan, un tipo di botnet noto per la sua capacità di indirizzare e rubare informazioni chiave memorizzate sul vostro computer, ad esempio le credenziali di accesso. Più della metà dei sistemi informatici nelle botnet Kneber usano anche il temibile e conosciutissimo Trojan Waledac – un virus conosciuto per creare botnet e-mail di spam che recentemente è stato associato a Conficker, altro famoso worm.Gli obiettivi di Kneber sono solo macchine Windows, e soprattutto quelle che eseguono Windows XP Professional SP2 costituiscono la maggior parte dell’esercito di zombies infettati dal botnet. Netwitness non ha riferito d’infezioni su macchine con Windows 7. Kneber si localizza principalmente su macchine che fanno parte di infrastrutture aziendali e di governo, ma anche utenti domestici possono essere colpiti.
Netwitness non ha nominato quali imprese sono state colpite, ma il Wall Street Journal segnala che le società interessate comprendono Merck & Co., Cardinal Health, Paramount Pictures, la società di software Juniper Networks Inc.
Kneber è andato in giro per quasi un anno, secondo la relazione Netwitness, ma il Wall Street Journal ribadisce che è stato attivo negli ultimi 18 mesi e che lo sia ancora attualmente.
Anche se la botnet Kneber, a quanto pare, abbia come obiettivo organizzazioni di grandi dimensioni per l’infezione, i computer domestici possono ancora essere compromessi. Questa botnet fa crescere il numero delle sue vittime convincendole a visitare un sito web “maligno” a partire dal quale il malware si intrufola nel vostro sistema, oppure scaricando un allegato di posta elettronica.
Come con qualsiasi forma di malware, il modo migliore per proteggersi è quello di utilizzare pratiche intelligenti e scaltre quando si naviga il web. Non scaricare sospetti allegati di posta elettronica, in particolare provenienti da indirizzi che non si conoscono, diffidare di link verso siti sospetti. Alcuni esempi di link sospetti trovati in messaggi di posta elettronica sono poi chiavi per accedere al vostro conto bancario attraverso la richiesta di confermare qualcosa o invitandovi a visualizzare un video divertente. Infine, bisogna sempre assicurarsi che il programma antivirus sia aggiornato e che sia una distribuzione con licenza con firma digitale e registrata.