Attacchi ransom: ora è il turno di MySQL

Feb 27, 2017 Marco Schiaffino Attacchi, Gestione dati, Intrusione, News, RSS 0

Dopo Mongo DB ed ElasticSearch, MySQL. Centinaia di database “sequestrati” da un gruppo di hacker che chiede 0.2 Bitcoin per la restituzione dei dati.

Cambiano i protagonisti, ma il copione è sempre lo stesso: gli hacker accedono ai database esposti su Internet sfruttando vulnerabilità note ed errori di impostazione, rubano i dati e lasciano sui server una richiesta di riscatto in Bitcoin.

Nelle scorse settimane il fenomeno ha travolto i database Mongo DB ed ElasticSearch, mentre gli utenti di Cassandra sono stati “salvati” dall’azione di un hacker che ha violato centinaia di server lasciando però intatti i database e limitandosi ad aggiungere un file con un avviso: “i vostri server non sono sicuri”.

Adesso sembra che sia il turno di MySQL, la piattaforma open source più diffusa su Internet, utilizzata da milioni di siti.

Stando a quanto riportato da Ofri Ziv di GuardiCore, la prima ondata di attacchi nei confronti dei server MySQL si sarebbe verificata lo scorso 12 febbraio e, per fortuna, sarebbe proseguita per non più di 30 ore.

Secondo il ricercatore, è probabile che tutti gli attacchi avessero la stessa origine. Provenivano infatti dallo stesso IP (09.236.88.20) gestito dal servizio di hosting olandese worldstream.nl.

Dal punto di vista tecnico, gli attacchi sono stati portati utilizzando una tecnica di brute forcing per accedere con privilegi di root al software.

Tuttavia, Ziv e i suoi colleghi hanno individuato diverse strategie di attacco. Di solito lo schema è il seguente: i pirati accedono al server, duplicano il database sulle loro macchine e cancellano la copia in locale, sostituendola con una nuova che contiene la richiesta di riscatto.

Vuoi indietro il contenuto del tuo database? Devi pagare il riscatto. E la prossima volta, magari, usa una password un po’ più sicura…

***foto***Vuoi indietro il contenuto del tuo database? Devi pagare il riscatto. E la prossima volta, magari, usa una password un po’ più sicura…

Nei casi registrati, però, gli hacker hanno agito di volta in volta seguendo schemi diversi. In alcuni casi hanno inserito una nuova tabella chiamata WARNING all’interno del database esistente, in altri hanno creato nuovo database chiamato PLEASE_READ, a volte senza nemmeno fare una copia dei dati.

Le vittime dell’attacco, quindi, non possono avere la certezza di recuperare le informazioni cancellate anche pagando il riscatto di 0.2 Bitcoin, corrispondenti a circa 200 dollari.

I ricercatori, nel loro report, sottolineano anche l’esistenza di due diverse modalità di pagamento: una prevede un contatto via email, l’altra utilizza direttamente un sito Internet su circuito Tor. Le due richieste indicano due diversi wallet per il versamento dei Bitcoin.

La buona notizia è che sembra si tratti di un episodio isolato, che avrebbe interessato qualche centinaio di database MySQL ma non sarebbe diventato “virale” come nel caso di Mongo DB.

In quell’occasione, infatti, le ondate di attacchi si sono susseguite con una frequenza senza precedenti, colpendo migliaia di server e innescando una sorta di “corsa all’hacking” che ha creato grossi problemi agli amministratori.

I ricercatori raccomandano a tutti gli amministratori IT che gestiscono database MySQL di verificare che l’accesso sia impostato con password complesse.

Condividi l'articolo