Botnet Pony, rubate due milioni di password
Un ricercatore di sicurezza ha scoperto un server sul quale sono state memorizzate oltre 1,5 milioni di credenziali per l'accesso ai servizi web più noti.
Un ricercatore di sicurezza dei Trustwave SpiderLabs ha scoperto un server in Olanda sul quale sono conservate quasi due milioni di password utilizzate per accedere ai servizi offerti da Facebook, Google, Twitter, Yahoo e LinkedIn. Quasi certamente questi dati sensibili sono stati raccolti dai cybercriminali mediante un keylogger o un malware simile installati sui computer di ignari utenti, creando quindi una botnet gestita da remoto con un’applicazione denominata Pony.
Daniel Chechik ha pubblicato diverse informazioni statistiche sul numero di credenziali rubate, sui servizi Internet interessati e sulla posizione geografica dei bersagli, ovvero dei computer infetti. Oltre 1,5 milioni di username e password sono usate per effettuare l’accesso a vari siti web, tra cui Facebook (318.121), Yahoo (59.549), Google (54.437), Twitter (21.708) e LinkedIn (8.490). L’elenco include anche 320.000 account email, 41.000 account FTP e 3.000 credenziali Remote Desktop.
Per quanto riguarda invece la distribuzione geografica, al primo posto c’è l’Olanda con circa il 97% di password rubate. Seguono poi Thailandia, Germania, Singapore e Indonesia. L’Italia non sembra essere tra i paesi più colpiti. Osservando il file di log, il ricercatore ha scoperto che i cybercriminali hanno utilizzato un reverse proxy per impedire la scoperta e la disattivazione del server command-and-control. Il nome del software usato per la gestione della botnet è Pony.
Non è ancora chiaro come siano state raccolte le credenziali di login. Probabilmente sulle macchine infette è stato installato un keylogger oppure gli utenti hanno visitato un sito di phishing. In ogni caso, analizzando i dati si evince che il lavoro dei cybercriminali è enormemente facilitato dalla scarsa attenzione verso la sicurezza. La password più diffusa (15.820 account) è “123456“.