Aggiornamenti recenti Ottobre 24th, 2025 5:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Il Pwn2Own Irlanda si è concluso con oltre 1 milione di dollari di vincite
- Lazarus ha colpito alcune compagnie europee del settore della difesa
- Arriva “Zyxel Commercialisti Italia”, iniziativa per educare i professionisti alla cybersecurity
- Cyberattacchi: estorsioni e ransomware dietro la metà delle campagne malevole
- Centinaia di estensioni Chrome sfruttate in una campagna di spam
Attacchi ransom: ora è il turno di MySQL
Dopo Mongo DB ed ElasticSearch, MySQL. Centinaia di database “sequestrati” da un gruppo di hacker che chiede 0.2 Bitcoin per la restituzione dei dati.
Cambiano i protagonisti, ma il copione è sempre lo stesso: gli hacker accedono ai database esposti su Internet sfruttando vulnerabilità note ed errori di impostazione, rubano i dati e lasciano sui server una richiesta di riscatto in Bitcoin.
Nelle scorse settimane il fenomeno ha travolto i database Mongo DB ed ElasticSearch, mentre gli utenti di Cassandra sono stati “salvati” dall’azione di un hacker che ha violato centinaia di server lasciando però intatti i database e limitandosi ad aggiungere un file con un avviso: “i vostri server non sono sicuri”.
Adesso sembra che sia il turno di MySQL, la piattaforma open source più diffusa su Internet, utilizzata da milioni di siti.
Stando a quanto riportato da Ofri Ziv di GuardiCore, la prima ondata di attacchi nei confronti dei server MySQL si sarebbe verificata lo scorso 12 febbraio e, per fortuna, sarebbe proseguita per non più di 30 ore.
Secondo il ricercatore, è probabile che tutti gli attacchi avessero la stessa origine. Provenivano infatti dallo stesso IP (09.236.88.20) gestito dal servizio di hosting olandese worldstream.nl.
Dal punto di vista tecnico, gli attacchi sono stati portati utilizzando una tecnica di brute forcing per accedere con privilegi di root al software.
Tuttavia, Ziv e i suoi colleghi hanno individuato diverse strategie di attacco. Di solito lo schema è il seguente: i pirati accedono al server, duplicano il database sulle loro macchine e cancellano la copia in locale, sostituendola con una nuova che contiene la richiesta di riscatto.
Vuoi indietro il contenuto del tuo database? Devi pagare il riscatto. E la prossima volta, magari, usa una password un po’ più sicura…
***foto***Vuoi indietro il contenuto del tuo database? Devi pagare il riscatto. E la prossima volta, magari, usa una password un po’ più sicura…
Nei casi registrati, però, gli hacker hanno agito di volta in volta seguendo schemi diversi. In alcuni casi hanno inserito una nuova tabella chiamata WARNING all’interno del database esistente, in altri hanno creato nuovo database chiamato PLEASE_READ, a volte senza nemmeno fare una copia dei dati.
Le vittime dell’attacco, quindi, non possono avere la certezza di recuperare le informazioni cancellate anche pagando il riscatto di 0.2 Bitcoin, corrispondenti a circa 200 dollari.
I ricercatori, nel loro report, sottolineano anche l’esistenza di due diverse modalità di pagamento: una prevede un contatto via email, l’altra utilizza direttamente un sito Internet su circuito Tor. Le due richieste indicano due diversi wallet per il versamento dei Bitcoin.
La buona notizia è che sembra si tratti di un episodio isolato, che avrebbe interessato qualche centinaio di database MySQL ma non sarebbe diventato “virale” come nel caso di Mongo DB.
In quell’occasione, infatti, le ondate di attacchi si sono susseguite con una frequenza senza precedenti, colpendo migliaia di server e innescando una sorta di “corsa all’hacking” che ha creato grossi problemi agli amministratori.
I ricercatori raccomandano a tutti gli amministratori IT che gestiscono database MySQL di verificare che l’accesso sia impostato con password complesse.
Condividi l'articolo
Google pubblica un altro bug “scoperto” di Microsoft
LED-it-GO: il malware che trasmette i dati con il led dell’HD
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a... -
In Italia oltre 2.000 attacchi settimana, ben più della... Il Global Threat Intelligence Report di settembre... -
ChatGPT Agent può essere usato per esfiltrare dati ChatGPT Agent può essere usato per esfiltrare dati: lo ha... -
La complessità delle password non è così importante. Lo... Aumentare la complessità delle password, richiedendo... -
Ricerca FireMon: il 60% dei firewall non supera i controlli... Secondo l’ultima ricerca di FireMon, azienda di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Il Pwn2Own Irlanda si è concluso con oltre 1 milione di... Il Pwn2Own di ottobre, tenutosi a Cork, in Irlanda, si... -
Lazarus ha colpito alcune compagnie europee del settore... Una recente analisi di ESET riporta che il gruppo... -
Arriva “Zyxel Commercialisti Italia”,... Zyxel Networks ha presentato “Zyxel Commercialisti... -
Cyberattacchi: estorsioni e ransomware dietro la metà... Le campagne di estorsione e i ransomware continuano a...
-
Centinaia di estensioni Chrome sfruttate in una campagna di... Il Threat Research Team della compagnia di sicurezza...
Ransomware: la serie
No posts found.