Botnet Ballista: una minaccia informatica che sfrutta i router Archer di TP-Link

I ricercatori di sicurezza informatica hanno scoperto un'altra campagna botnet denominata Ballista, che ha preso di mira i router TP-Link Archer non patchati. La campagna, rilevata per la prima volta il 10 gennaio 2025, sfrutta una vulnerabilità nota (CVE-2023-1389) per infiltrarsi nei dispositivi e diffondersi su Internet. A differenza di altre botnet che hanno precedentemente sfruttato questa falla, Ballista sembra essere in fase di sviluppo attivo, il che rappresenta una preoccupazione significativa per utenti e organizzazioni in tutto il mondo.

Cos'è la botnet Ballista?

Ballista è una campagna di software dannoso progettata per compromettere i router TP-Link Archer AX-21 vulnerabili. Sfrutta CVE-2023-1389, una falla di sicurezza ad alta gravità che consente l'iniezione di comandi e, in ultima analisi, l'esecuzione di codice remoto (RCE). Una volta che un router è compromesso, Ballista si installa, stabilisce un canale di comando e controllo (C2) crittografato e segue una sequenza di attacco strutturata per raggiungere i suoi obiettivi.

La botnet si diffonde eseguendo un malware dropper, identificato come "dropbpb.sh", che recupera ed esegue il payload principale sui dispositivi infetti. Questo malware può operare su varie architetture di sistema, tra cui mips, mipsel, armv5l, armv7l e x86_64. Una volta all'interno, la botnet esegue comandi, esegue attacchi denial-of-service (DoS) e persino elimina tracce della propria presenza per evitare il rilevamento.

Quali sono gli obiettivi di Ballista?

L'obiettivo primario di Ballista sembra essere quello di ottenere il controllo sui dispositivi compromessi per vari scopi malevoli. Alcune delle funzionalità chiave includono:

  • Esecuzione di comandi shell: il malware consente agli aggressori di eseguire comandi shell Linux da remoto, ottenendo così un controllo completo sul router infetto.
  • Attacchi Denial-of-Service (DoS): utilizzando un comando noto come "flooder", Ballista può avviare attacchi flood, interrompendo le operazioni di rete.
  • Diffusione ad altri router: il malware può sfruttare la stessa vulnerabilità su altri router non aggiornati, aumentando notevolmente la sua portata.
  • Accesso ai dati ed esfiltrazione: tenta di leggere file sensibili dal sistema compromesso, esponendo potenzialmente informazioni riservate.
  • Autoconservazione ed evoluzione: Ballista è progettato per rimuovere le versioni precedenti di se stesso, assicurando che solo l'ultima iterazione sia attiva. Inoltre, recenti aggiornamenti indicano che la botnet è passata dagli indirizzi IP hardcoded all'utilizzo di domini di rete TOR, rendendo più difficile il tracciamento e la mitigazione.

Quali sono le implicazioni?

L'emergere di Ballista evidenzia le sfide di sicurezza in corso per i dispositivi connessi a Internet, in particolare i router di livello consumer che spesso non vengono patchati. La portata della botnet è ampia, con oltre 6.000 dispositivi presi di mira sparsi in Brasile, Polonia, Regno Unito, Bulgaria e Turchia. È stata anche collegata ad attacchi ad aziende nei settori manifatturiero, sanitario, dei servizi e della tecnologia negli Stati Uniti, in Australia, in Cina e in Messico.

Le implicazioni di questa botnet vanno oltre le singole infezioni del router. Poiché i dispositivi compromessi possono essere sfruttati per attacchi informatici su larga scala, Ballista ha il potenziale per contribuire alle minacce informatiche globali, tra cui:

  • Aumento degli attacchi alimentati da botnet: con un numero crescente di dispositivi infetti, gli aggressori potrebbero utilizzare Ballista per attacchi DoS coordinati, paralizzando i servizi presi di mira.
  • Violazioni dei dati e spionaggio: l'accesso a file sensibili potrebbe portare all'esfiltrazione non autorizzata di dati, mettendo a rischio sia i singoli individui che le organizzazioni.
  • Vulnerabilità della supply chain: le aziende che si affidano a router compromessi potrebbero inconsapevolmente diventare parte di campagne di criminalità informatica su larga scala.
  • Difficoltà di tracciamento e neutralizzazione: il passaggio della botnet all'uso di domini di rete TOR rende più difficile individuare gli aggressori e interromperne le operazioni.

Come proteggersi dalle baliste?

Data la gravità della minaccia, gli utenti devono adottare misure proattive per proteggere i propri router:

  1. Aggiorna il firmware del router: assicurati che il firmware del TP-Link Archer AX-21 sia aggiornato all'ultima versione, poiché i produttori rilasciano regolarmente patch per correggere le vulnerabilità della sicurezza.
  2. Disattiva la gestione remota: se non è necessaria, disattiva le funzionalità di accesso remoto per impedire connessioni non autorizzate.
  3. Utilizzare credenziali complesse: evitare credenziali di accesso predefinite e utilizzare password complesse per l'amministrazione del router.
  4. Monitorare il traffico di rete: attività insolite, come picchi nel traffico in uscita, potrebbero indicare un'infezione.
  5. Ripristino delle impostazioni di fabbrica e riconfigurazione: se si sospetta che un dispositivo sia compromesso, eseguire un ripristino delle impostazioni di fabbrica e configurarlo da zero può aiutare a rimuovere il malware.
  6. Implementare regole firewall: limitare l'accesso non necessario alle porte amministrative e bloccare gli indirizzi IP sospetti.

La strada da percorrere

Ballista non è la prima botnet a sfruttare le vulnerabilità del router, e non sarà certamente l'ultima. La presenza di stringhe in lingua italiana nei file binari del malware suggerisce una possibile origine, ma con la sua natura in evoluzione, i veri operatori rimangono sconosciuti. Lo spostamento della botnet verso reti anonimizzate indica che è in fase di perfezionamento attivo, rendendo gli sforzi di mitigazione più impegnativi.

Sebbene Ballista rimanga distinta da altre botnet come Mirai e Mozi, la sua capacità di auto-propagarsi ed eseguire attacchi potenti la rende uno sviluppo degno di nota nel panorama della sicurezza informatica. Man mano che emergono maggiori dettagli, restare informati e prendere le precauzioni necessarie sarà fondamentale per prevenire danni diffusi.

Dando priorità agli aggiornamenti di sicurezza e seguendo le best practice, gli utenti possono ridurre il rischio di Ballista e minacce simili. La lotta contro le botnet è in corso, ma la consapevolezza e l'azione tempestiva possono limitarne significativamente l'impatto.

Entro il Willa
March 12, 2025
Malware
Italiano
March 12, 2025
Malware

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.