Il Pony che ha rubato 2 milioni di account

Può capitare che un giorno, analizzando server in giro per la rete, ti capiti di trovarne uno che contiene un tesoro. Non si tratta di Bitcoin o di ricchezze del genere ma di una vasta mole di account, quasi 2 milioni, in grado di raccontare le vite digitali di persone sparse per il globo. Se poi lavori alla Trustwave, società di sicurezza informatica, allora il tesoro vale doppio. Quello che il team dell'agenzia ha individuato su un server olandese è una variante di Pony Botnet Controller, un’interfaccia di gestione dei botnet con la quale si possono monitorare, giorno e notte, le attività al computer di una vittima, scovando password e dati di accesso ai siti preferiti. Si preme il tasto START e parte la registrazione. Alla fine il software è in grado di fare un report preciso sull'utente, con una serie di statistiche chiave che si avvicinano a quelle della NSA. Le vittime sono "reclutate" sempre allo stesso modo: basta un click su un sito maligno dove è presente un malware che, approfittando di un sistema e di software non aggiornati, si insinua nel computer cominciando lo sporco lavoro.

Per la precisione, sono 1,6 milioni gli account compromessi in tutto il mondo e inseriti nella botnet Pony, attraverso una singola azione di hacking. Se non si tratta di un record poco ci manca. I criminali (attenzione a chiamarli hacker) hanno rubato 1.580.000 credenziali di accesso ai vari siti web e 320.000 account email. Secondo il team della Trustwave, gli aggressori hanno centrato l’obiettivo di portarsi a casa 318.121 password di Facebook, 59.549 di Yahoo, 54.437 di Google, 21.708 di Twitter re 8.490 di LinkedIn. L’elenco comprende anche quasi 8.000 utenti della ADP, il provider che fornisce servizi per la gestione e il monitoraggio delle paghe online. Trustwave pone una forte attenzione proprio sul furto dei dati di quest'ultima, quelli che possono avere evidenti ripercussioni finanziarie sulle vittime, in quanto dettaglianti, oltre che di informazioni personali, anche di dati bancari e inerenti varie forme di pagamento.

Il punto è che l’azione potrebbe ancora non essere finita. Secondo John Miller, security research manager della Trustwave, le azioni di pirateria sono cominciate il 21 ottobre scorso ed è probabile che “ci siano diversi server compromessi che non abbiamo ancora analizzato” con un danno che, se possibile, sarebbe anche maggiore.

La nota dolente è che i big coinvolti, come Google e Yahoo, hanno rifiutato di commentare la notizia mentre gli utenti Facebook, LinkedIn e Twitter compromessi hanno ricevuto una notifica e l’invito a cambiare password. Oltre al server di raccolta scovato in Olanda, ce ne sarebbero molti altri in giro per il mondo. Non a caso proprio i Paesi Bassi sono i primi nella classifica dei più colpiti dal malware lanciato da Pony, seguiti dalla Thailandia, Germania, Singapore, Indonesia e Stati Uniti. 

Il trend delle minacce informatiche in questo 2013 non è di certo positivo. Sono sempre di più le varianti che infettano PC e dispositivi mobili. Secondo Panda Security, i trojan sono ancora al primo posto con il 76,85% delle infezioni totali, seguiti da worm (13,12%), virus (9,23%) e adware/spyware (0,57%). Il 78% degli attacchi del terzo trimestre del 2013 è stato causato da trojan, seguito dal 6,63% da virus, il 6,05% da adware/spyware e il 5,67% da worm. L’America Latina continua a essere l’area con il numero più elevato di attacchi tuttavia, nella classifica dei 10 paesi più colpiti la Cina è al primo posto con circa il 60%, seguita da Turchia (46,58%) e Perù (42,55%). Molti stati sono oramai “saturi” dal punto di vista di minacce informatiche e per questo i criminali si rivolgono a quelli dove finora la percentuale di infezioni è più bassa. Non a caso nella classifica di Panda Security, Paesi Bassi e Germania, i due paesi più colpiti da Pony, sono tra le nazioni europee meno infettate nel 2013 con il 19,9% e il 20,60%  e quindi le più appetibili per i cyber-criminali.