Botnet scatenate: dentro il malware Kamasers che trasforma i DDoS in un incubo ransomware

Nel mondo oscuro del cybercrimine, la specializzazione sta morendo. L’ultima prova? Kamasers - una botnet che sta riscrivendo le regole della guerra digitale. Ciò che era iniziato come uno strumento per lanciare devastanti attacchi di distributed denial-of-service (DDoS) si è mutato in una bestia a più teste, capace di distribuire ransomware e violare reti con un’efficienza agghiacciante. Mentre i team di sicurezza si affannano per tenere il passo, Kamasers si infiltra silenziosamente nelle organizzazioni di tutto il mondo, dalle scuole in Germania alle aziende tecnologiche negli Stati Uniti, lasciando dietro di sé una scia di interruzioni, estorsioni e dati rubati.

L’anatomia di una minaccia moderna

Kamasers non è la solita botnet. Mentre gli strumenti DDoS tradizionali si concentrano esclusivamente sul mandare offline i siti web, Kamasers combina un ampio arsenale di metodi d’attacco - tra cui HTTP flood, esaurimento dell’handshake TLS e abuso delle API - con una funzione di loader furtiva. Questo significa che una singola infezione può rapidamente degenerare: prima, la rete della vittima viene travolta dal traffico DDoS; poi, lo stesso sistema compromesso può essere costretto a scaricare ed eseguire ransomware o malware per il furto di dati, tutto al capriccio di un operatore remoto.

La sofisticazione non finisce qui. Kamasers sfrutta un meccanismo di Dead Drop Resolver (DDR), che nasconde abilmente il vero indirizzo del server C2 all’interno di servizi pubblici come GitHub, Telegram, Dropbox e Bitbucket. Questi indirizzi non sono memorizzati in chiaro, rendendo la rilevazione molto più difficile. Se un canale fallisce, il malware passa automaticamente a una cascata di piattaforme di backup - o, in ultima istanza, a un elenco hardcoded di domini di ripiego. In alcuni casi, interroga persino la blockchain di Ethereum tramite api.etherscan.io per recuperare informazioni C2 nascoste, una tecnica di evasione rara e innovativa.

I ricercatori di sicurezza di ANY.RUN hanno osservato che Kamasers riceve comandi in spagnolo (come !descargar), suggerendo un operatore di lingua spagnola, anche se la portata della campagna è globale. La botnet viene distribuita tramite GCleaner e Amadey, due loader noti per il loro ruolo negli attacchi malware multi-stage, evidenziando l’interconnessione delle odierne catene di fornitura del cybercrimine.

Infrastruttura a noleggio

L’infrastruttura di comando di Kamasers è ospitata da Railnet LLC, un ASN associato al bulletproof hosting e in precedenza collegato ad altri malware come Latrodectus. Questa infrastruttura, progettata per resistere ai takedown e alle forze dell’ordine, è una delle preferite dagli attori di minaccia organizzati. La combinazione di infrastruttura robusta, design modulare ed evasione avanzata rende Kamasers una minaccia formidabile per qualsiasi organizzazione.

La rilevazione è complicata. Ai team di sicurezza si raccomanda di monitorare connessioni in uscita sospette verso le piattaforme pubbliche abusate da Kamasers, segnalare il traffico verso Railnet/Virtualine e distribuire sandbox comportamentali per intercettare routine di download-and-execute. La flessibilità della botnet significa che ciò che inizia come un attacco DDoS potrebbe rapidamente virare verso il ransomware, con l’intera catena d’attacco che si dispiega in ore - non in giorni.

Conclusione

Kamasers è un duro promemoria che l’era del malware a scopo unico è finita. Le botnet di oggi sono modulari, resilienti e spietatamente opportunistiche - capaci di trasformare un momento di caos di rete in una crisi aziendale a tutti gli effetti. Man mano che le linee tra le “specialità” del cybercrimine si sfumano, i difensori devono essere altrettanto adattivi, o rischiano di essere colti di sorpresa dalla prossima ondata di minacce ibride.

TECHCROOK

Bitdefender Total Security è una suite di protezione endpoint pensata per ridurre il rischio di infezioni multi‑stage come quelle descritte nell’articolo (loader che scaricano payload, furto dati e ransomware). Integra motore antimalware con analisi comportamentale e anti‑exploit, moduli anti‑ransomware con remediation, protezione web contro URL malevoli e controllo delle connessioni sospette in uscita. Include anche firewall, prevenzione phishing e scansione delle vulnerabilità di sistema, utili per limitare la superficie d’attacco quando una botnet tenta di persistere o comunicare con infrastrutture C2 tramite servizi legittimi. Compatibile con Windows, macOS, Android e iOS, con gestione centralizzata tramite account. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

• Botnet: Una botnet è una rete di dispositivi infetti controllati da remoto da cybercriminali, spesso usata per lanciare attacchi su larga scala o rubare dati sensibili.
• DDoS (Distributed Denial: Un attacco DDoS travolge un servizio online con traffico proveniente da molte fonti, rendendolo lento o non disponibile per gli utenti reali.
• Loader: Un loader è un software malevolo che installa o esegue altro malware su un sistema infetto, abilitando ulteriori cyberattacchi o accessi non autorizzati.
• Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
• Bulletproof Hosting: Il bulletproof hosting è un servizio di web hosting che ignora le segnalazioni di abuso, permettendo ai criminali di ospitare contenuti illegali o malevoli con scarso rischio di rimozione.