Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Attacchi ai server ElasticSearch. Database “rapiti” dai pirati
I cyber criminali usano la stessa tecnica adottata nei giorni scorsi contro i server Mongo DB: i database vengono copiati, cancellati e sostituiti con la richiesta di riscatto.
Un errore di configurazione è più che sufficiente per aprire la porta ai pirati. Lo hanno imparato a loro spese nelle scorse settimane gli amministratori di server Mongo DB, vittime di un’ondata di attacchi. Lo stanno imparando quelli di ElasticSearch, che ora sembra essere finito nel mirino di gruppi che agiscono con lo stesso modus operandi.
ElasticSearch è un motore di ricerca open source utilizzato ampiamente da grandi aziende e società che offrono servizi Web (lo usa anche Netflix) e proposto come servizio anche da provider di servizi come Amazon.
Il problema, però, è che molti amministratori hanno la pessima abitudine di impostare il servizio in modo che sia esposto a Internet. Risultato: i server possono essere attaccati dai pirati che, secondo le ultime notizie, ne avrebbero violati già più di 600.
La strategia dei cyber-criminali è la stessa che abbiamo già visto nelle scorse settimane: una volta ottenuto l’accesso al server, eseguono una copia dei dati contenuti e poi li cancellano, lasciando una richiesta di riscatto in bitcoin.
Considerato che da una ricerca su Shodan risultano esserci ben 35.000 server ElasticSearch raggiungibili via Internet, è probabile che anche in questo caso si assisterà a un’escalation simile a quella verificatasi nei giorni scorsi nei confronti di Mongo DB.
Il motore di ricerca open source è usato da colossi del Web come Universal, SoundCloud e Wikipedia
Di solito la cifra non è molto elevata (circa 500 dollari) ma è bene considerare che i legittimi proprietari, anche se dovessero pagare la somma richiesta, non hanno la certezza di recuperare i loro dati.
Oltre all’incertezza è legata alla “affidabilità” dei pirati informatici, c’è infatti il problema che il fenomeno è in costante crescita e che i pirati sfruttano sistemi automatizzati, che “macinano” centinaia di attacchi all’ora.
Nei giorni scorsi, quando sono stati presi di mira i server Mongo DB sono stati segnalati casi in cui lo stesso server è stato attaccato più volte in sequenza, con il risultato che gli amministratori hanno pagato un riscatto a un gruppo di hacker che… non avevano i dati originali.
Quando un nuovo gruppo colpisce un server già compromesso, infatti, in memoria trova soltanto la richiesta di riscatto del primo hacker e lo sostituisce con il suo. Gli amministratori, quindi, anche una volta pagato il riscatto rischiano di vedersi restituire solo un’altra richiesta di riscatto.
A peggiorare la situazione c’è il fatto che su Internet è comparso (in vendita) lo script usato per attaccare i server Mongo DB. A rendere disponibile lo strumento di hacking (prezzo 200 dollari) è il gruppo Kraken, che secondo i ricercatori avrebbe colpito 16.000 server in due giorni.
Non è escluso che lo script possa essere stato adattato per colpire ElasticSearch, mettendo così nelle mani dei pirati una sorta di “arma di distruzione di massa” che potrebbe provocare enormi danni.
Agli amministratori di sistema che utilizzano il motore di ricerca non resta che prendere tutte le precauzioni possibili per mettere in sicurezza i loro server. Alcuni suggerimenti sono stati messi nero su bianco da Itamar Syn-Hershko in un post sul suo blog.
Condividi l'articolo
Gli Shadow Brokers si ritirano. Su Internet l’addio
Tornano gli Shadow Brokers: in vendita altri tool dell'NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
