Raspberry Pi presi di mira da nuova campagna malware: meglio cambiare la password

È stato scoperto un nuovo ceppo di malware che punta dritto ai dispositivi Raspberry Pi, nel tentativo di trasformarli in dispositivi per il mining di criptovalute a favore dell'aggressore che ha intentato l'attacco. Il nuovo malware viene conosciuto come Linux.MuIDrop.14 e infetta i piccoli sistemi connessi ad internet se il proprietario ha lasciato incautamente nome utente e password di default all'interno del tipico account "pi" per l'accesso al sistema operativo.

In questo caso l'autore del malware può compromettere la sicurezza del sistema, installare i software ZMap e sshpass e iniziare a suo esclusivo beneficio il mining della valuta virtuale. Per proteggersi da questo eventuale rischio è necessario, nella massima semplicità, modificare i parametri di default per l'accesso all'account admin di Raspberry Pi, una pratica che dovrebbe in ogni caso essere effettuata e che di solito gli utenti più esperti compiono.

Come abbiamo visto nel corso degli anni, lasciare le impostazioni di default non è mai un'opzione sicura per un dispositivo connesso ad internet, e in passato si sarebbero potute evitare parecchie infezioni su larga scala (soprattutto su router e gadget IoT) semplicemente modificando i parametri di accesso di default. Il nuovo malware è stato avvistato originariamente dal produttore di antivirus russo Dr. Web nella prima metà del mese di maggio sotto forma di uno script.

Nello specifico l'infezione colpisce i dispositivi con porte SSH aperte a connessioni esterne e modifica subito la password originale per l'account "pi" con una nuova e ben più complessa. Il malware sospende quindi diversi processi, installa alcune librerie e i software di cui parlavamo sopra: ZMap serve per scansionare la rete in modo da trovare altri dispositivi con porte SSH aperte da poter essere attaccati, cercando poi di accedere al sistema con le credenziali di default.

L'hardware di un Raspberry Pi non basta per effettuare un mining soddisfacente, ma creando una botnet composta da numerosi computer è possibile generare qualche profitto.

Giugno potrebbe essere un mese molto caldo per le diffusioni dei malware: Shadow Brokers ha promesso che venderà agli interessati una serie di strumenti per l'hacking utilizzati dalla NSA capaci di infettare diversi sistemi, a partire da router e smartphone, fino ad arrivare ai PC Windows 10. Spesso, però, come nel caso del nuovo Linux.MuIDrop.14, è sufficiente seguire le regole basilari per rimanere protetti: aggiornare il proprio sistema operativo e tutti i sistemi di sicurezza è importante, ma cambiare le password di default dovrebbe essere una procedura di base.