Più di 500.000 computer e 25.000 server compromessi, incluso il server di kernel.org, e oltre 700 server ancora infetti in questo momento.
Sono alcuni dei numeri di un rapporto pubblicato da ESET (PDF) sull’operazione Windigo, un’azione su larga scala che ha interessato piattaforme di ogni tipo.
Questa è più o meno la scansione degli eventi:
- agosto 2011: il server di kernel.org viene compromesso (tornerà online in ottobre);
- novembre 2011: Steinar Gunderson pubblica la prima analisi tecnica di Linux/Ebury, un trojan che colpisce i server ssh;
- febbraio 2013: cPanel denuncia che alcuni suoi server sono stati infettati da Linux/Ebury; il CERT tedesco inizia ad avvertire alcune vittime del medesimo trojan;
- aprile 2013: Sucuri pubblica la prima analisi tecnica di Linux/Cdorked, una backdoor che colpisce Apache, Nginx e lighttpd;
- giugno 2013: viene trovato un nesso tra Linux/Ebury e Linux/Cdorked; l’analisi di frammenti di traffico rivela che Linux/Ebury ha infettato oltre 7.500 server;
- luglio 2013: viene scoperto Perl/Calfbot, legato ai due malware di cui sopra;
- settembre 2013: l’analisi del traffico rivela che Linux/Cdorked genera oltre un milione di ridirezioni in due giorni;
- ottobre 2013: l’analisi del traffico rivela che oltre 12.000 server sono infettati da Linux/Ebury;
- gennaio 2014: l’analisi del traffico di un C&C di Perl/Calfbot rivela che il bot genera 35 milioni di messaggi al giorno.