Giorgio Marandola
La Real Host Ltd punto di partenza per fishing e spam
La Real Host Ltd, che risiede su server AS8206 Junik, è una società di base a Riga, in Lettonia, ed è ritenuta responsabile come punto di partenza di attacchi hacker, fishing, virus e spam e viene definita da Internet Evolution “a cybercrime hotspot“.
Questo server è ritenuto il punto di partenza di virus del calibro del Zero-Day Flash/PDF exploit, nuovo ed ancora non patchato.
Andrew Martin, di Martin Security e HostExploit ha analizzato questo server, allo scopo di conoscerlo meglio e ridurre la sua pericolosità, ed ha concluso, nella sua analisi che:
1- Si tratta di un server relativamente piccolo, classificato in 2.826 su scala mondiale.
2- Ha 16.384 indirizzi IP.
3- Il server è centrato sul net block 213.182.197.0/24
4- Real Host ha 3 IP Blocks su 28, quindi 48 IPs e 272 domini.
Ovviamente non si tratta di casi isolati, dal server in questione si diramano vari e pericolosissimi virus, infatti molti fonti di alto livello rivelano dati più dettagliati riguardo la vicenda:
Spamhouse ha nelle sue liste il net block come centro di propagazione di phishing e maleware.
FIRE elenca 9 server completi adibiti solo alla propagazione di malware.
Malware URL stima attualmente 199 domini di Real Host Ltd che hostano 18 Trojans, 25 redirects to exploit e programmi antivirus che in gergo vengono definiti “rouge”, ovvero “canaglia”, più 6 Botnet C&C (command and control).
Google’s Safe Browsing negli ultimi 60 giorni ha rilevato: 12 siti che offrono software dannoso per drive-by download, 102 siti che agiscono come intermediari per l’infezione di altri 11.810 siti web e 161 siti web che ospitano malware che infetta altri 20.681 siti web.
In sintesi, il server Real Host Ltd ha un campionario di schifezze tra cui: falsi codec, Trojan bancari, spambot, siti di phishing, money mule recruitment websites, server di command-and-control botnet e tanto altro ancora.
Una centrale del crimine informatico che necessita un’azione di isolamento quanto meno rapida.
Inoltre i server in questione hanno ormai raccolto l’eredità del famigerato RBN (Russian Business Network), che raccoglieva immondizia come Barwells Group, Newsky, Web-Alfa e Botnet.Su.
L’ipotesi è duplice, o si tratta degli stessi soggetti che erano dietro a RBN o si tratta di nuovi cybercriminali che hanno maturato la loro esperienza proprio sulle orme di RBN.