Dodgy ISP arriva brevemente online, aggiorna botnet

Un fornitore di servizi Internet associato al crimine online e alla pornografia infantile è tornato brevemente online nel fine settimana prima di essere nuovamente tagliato, secondo i venditori di sicurezza.

McColo, i cui server si trovano a San Jose, in California, è stato tagliato fuori da Internet la settimana scorsa dai suoi fornitori a monte dopo un'indagine condotta dagli analisti della sicurezza informatica e dal Washington Post.

Ma McColo è tornato online sabato dopo essersi connesso con l'ISP svedese (fornitore di servizi Internet) TeliaSonera, che ha un router a San Jose, secondo Ross Thomas, scrivendo sul blog per il fornitore di sicurezza Sophos.

[Ulteriori letture: Come rimuovere il malware dal tuo PC Windows]

Dopo i reclami, TeliaSonera si trasferì rapidamente a tagliare di nuovo McColo, Thomas wr OTE. Ma il breve rinnovo della connettività ha permesso ai criminali informatici di eseguire botnet dalle reti di McColo per prendere provvedimenti per preservare le loro operazioni.

McColo è stato identificato come host dei server di comando e controllo per non meno di cinque grandi botnet responsabili di la maggior parte dello spam nel mondo. Quando McColo è caduto offline, gli analisti hanno scoperto che i livelli di spam sono scesi fino al 75%.

Lo spam subisce un pesante tributo all'infrastruttura IT, consuma banda e potenzialmente espone gli utenti a software dannoso.

Quando McColo tornò online, apparve il gli hacker che controllavano i server command-and-control per una botnet chiamata Rustock spostarono i controlli per quella botnet in un data center in Russia, secondo il blog del fornitore di sicurezza FireEye.

"Crediamo che i controller Rustock non aspettiamo che McColo sia molto stabile nel prossimo futuro, quindi stanno coprendo le loro scommesse e spostando i C & C verso un fornitore diverso ", secondo FireEye.

Quei PC infettati da software dannoso che consente al computer di far parte della Rustock anche le botnet erano almeno parzialmente aggiornate. L'aggiornamento consentirebbe ai computer di segnalare al nuovo server russo di comando e controllo di ricevere ordini.

Poiché McColo era solo online per un breve periodo, "non c'è modo che l'intera botnet sia stata aggiornata, ma senza dubbio ha ottenuto un pezzo di buone dimensioni ", ha detto FireEye.

Gli analisti della sicurezza hanno previsto che i livelli di spam aumenteranno di nuovo quando gli hacker che hanno usato McColo trasferiranno le loro operazioni ad altri ISP che sono disposti a proteggere gli spammer e altre imprese criminali, come quelli che vende software di sicurezza fasulli o prodotti farmaceutici.

"Si stima che Rustock sia in grado di inviare 30 miliardi di spam al giorno", ha scritto Thomas. "Quanto è grande l'aumento che vedremo dipende in gran parte dal numero di PC zombi che il controller della botnet è stato in grado di raggiungere durante la resurrezione temporanea di McColo."