Prima di procedere
Un'operazione di cybercrime su scala globale ha recentemente preso di mira decine di server Windows, sfruttandoli per manipolare i risultati di ricerca di Google e favorire il posizionamento di siti di gioco d'azzardo online illegali. Questa campagna, soprannominata GhostRedirector, è stata scoperta e analizzata da esperti di sicurezza informatica che hanno messo in luce la sua sofisticatezza e impatto.
Il cuore della truffa consiste nell'infiltrazione nei sistemi informatici attraverso attacchi mirati. Gli hacker, una volta ottenuto l'accesso ai server, hanno installato due tipi di software malevolo: Rungan, una backdoor che garantisce un accesso remoto persistente, e Gamshen, un trojan progettato per lavorare come modulo nei servizi IIS. Sebbene Gamshen non influenzi direttamente la navigazione degli utenti comuni, modifica le risposte inviate ai crawler di Google, introducendo link e contenuti SEO ingannevoli che incrementano artificialmente il ranking dei siti di scommesse non autorizzati nei risultati di ricerca.
Le regioni più colpite da questo attacco sono il Sud America e l'Asia, con un'alta concentrazione di server compromessi in paesi come Brasile, Perù, Thailandia e Vietnam. È stato rilevato che almeno 65 server sono stati danneggiati, con alcuni casi documentati anche negli Stati Uniti. L'obiettivo finale di questa offensiva informatica era quello di migliorare la visibilità online dei portali di gioco d'azzardo non autorizzati, particolarmente nei mercati emergenti dove il controllo è meno stringente.
La campagna rappresenta un pericolo significativo per una varietà di settori, dimostrandosi trasversale nel colpire realtà appartenenti al settore sanitario, educativo, assicurativo, dei trasporti, tecnologico e del retail. La natura subdola e stealth degli attacchi di GhostRedirector complica la rilevazione dell'infezione: spesso i siti colpiti si rendono conto di essere compromessi solo quando le loro performance SEO crollano o quando Google notifica attività sospette.
Gli esperti raccomandano di adottare una serie di misure preventive per proteggere i server, inclusa la regolare revisione dei log di sistema, l'aggiornamento costante del software e l'uso di strumenti avanzati per il rilevamento delle minacce. La community tecnica internazionale è chiamata a collaborare per contrastare la crescente minaccia rappresentata da operazioni malevole come GhostRedirector e proteggere così l'integrità delle infrastrutture digitali globali.
