DDoSia si evolve: la nuova versione minaccia la sicurezza informatica globale

Gli attori delle minacce dietro lo strumento di attacco DDoSia hanno sviluppato una nuova versione che include una funzionalità unica. Questa funzione consente allo strumento di recuperare l'elenco dei siti web di destinazione che vengono quindi sopraffatti da un'ondata di richieste HTTP indesiderate nel tentativo di inabilitarli. Questa variante aggiornata, codificata in Golang, è stata ideata con un ulteriore livello di sicurezza per nascondere il suo elenco di bersagli. L'elenco viene trasmesso in modo sicuro dai server di comando e controllo agli utenti, afferma Sekoia, una società di sicurezza informatica.

L'origine e gli obiettivi di DDoSia

Lo strumento DDoSia è associato a NoName(057)16, un gruppo di hacker filo-russo, ed è un successore della famigerata botnet Bobik. Il suo lancio è avvenuto nel 2022 ed è stato progettato per eseguire attacchi DDoS (Distributed Denial-of-Service). I suoi obiettivi principali sono stati i paesi in Europa, così come l'Australia, il Canada e il Giappone. Dall'8 maggio al 26 giugno 2023, i paesi presi di mira più di frequente sono stati Lituania, Ucraina, Polonia, Italia, Repubblica Ceca, Danimarca, Lettonia, Francia, Regno Unito e Svizzera. Complessivamente, sono stati colpiti un totale di 486 diversi siti web.

L'evoluzione e la distribuzione del DDoSia

Finora sono state scoperte versioni basate su Python e Go di DDoSia. Questa funzionalità multipiattaforma gli consente di operare su sistemi Windows, Linux e macOS. Come spiega SentinelOne, DDoSia è un'applicazione multi-thread che lancia attacchi denial-of-service sui siti Web target inviando continuamente richieste di rete, come dettato da un file di configurazione che il malware riceve da un server C2 al momento dell'attivazione. La distribuzione di DDoSia avviene tramite un processo interamente automatizzato su Telegram. Offre alle persone l'opportunità di partecipare a un'iniziativa di crowdsourcing pagando una quota di criptovaluta e ricevendo un archivio ZIP con il toolkit di attacco.

Implicazioni e reazioni alla nuova versione DDoSia

L'ultima versione di DDoSia si distingue per l'utilizzo della crittografia per nascondere l'elenco degli obiettivi, indicando che i suoi operatori mantengono attivamente lo strumento. NoName057(16) sta cercando di rendere il proprio malware multipiattaforma, riflettendo la propria ambizione di ampliare la propria base di utenti e prendere di mira un pool di vittime più diversificato, osserva Sekoia. Questo sviluppo coincide con un avvertimento della Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti sugli attacchi DoS e DDoS mirati alle organizzazioni in vari settori. La minaccia è grave e causa notevoli perdite di tempo, denaro e reputazione mentre i servizi e le risorse sono irraggiungibili. Inoltre, un gruppo chiamato Anonymous Sudan ha rivendicato la responsabilità dei recenti attacchi informatici, sebbene gli esperti di sicurezza informatica ritengano che sia una copertura per le attività a favore del Cremlino. Questo gruppo ha negato con veemenza i legami con la Russia, ma ha ammesso che i loro interessi si allineano. Hanno anche affermato di prendere di mira "tutto ciò che è ostile all'Islam". Nonostante l'incertezza sulla loro origine, le attività di questo gruppo e l'evoluzione di strumenti come DDoSia rappresentano una minaccia significativa per la sicurezza informatica globale.