Dopo l'attacco a MongoDB, elasticsearch,Hadoop, CouchDB e Cassandra , gli aggressori stanno mirando centinaia di database MySQL, cancellando il loro contenuto e lasciando una richiesta di riscatto di 0.2 Bitcoin ($235).
Sembra che gli attacchi siano di tipo brute-force ai server MySQL esposti ad Internet .
L'origine degli attacchi...
In base alle informazioni attualmente disponibili tutti gli attacchi provengono dall'Olanda . I cyber-criminali hanno iniziato ad attaccare il 12 febbraio ed hanno continuato per 30 ore consecutive, durante le quali hanno tentato tramite brute-force di entrare negli account MySQL. La raffica di attacchi è partita da un unico indirizzo IP dei Paesi Bassi 109.236.88.20, apparentemente una società di hosting di nome WorldStream.
Gli aggressori si sono comportanti in modo scostante, per cui è difficile attribuire tutto l'attacco ad un solo gruppo, nonostante l'indirizzo IP d'origine sia unico.
Per esempio, dopo aver ottenuto l'accesso al server MySQL, gli aggressori hanno creato un nuovo database chiamandolo PLEASE_READ con una tabella all'interno, chiamata WARNING, contenente le richieste di riscatto. In altri casi è stata creata solo la tabella WARNING, lanciata all'interno di un database già esistente, In seguito gli aggressori scaricano il contenuto del database e poi lo eliminano, lasciando solo la richiesta di riscatto. Ma in alcuni casi sono stati cancellati i database senza prima scaricare i loro contenuti.
I cyber-criminali hanno il loro sito web...
Sono stati trovati due tipi di richiesta di riscatto differenti, uno dei quali chiede alle vittime di entrare in contatto con l'attaccante via email per confermare il pagamento mentre l'altro ha un funzionamento completamente diverso, infatti reindirizza gli utenti verso un sito web Tor-hosted.
INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
Assicurarsi che i propri dati esistano ancora...
Nel caso che abbiamo citato in precedenza, che ha riguardato MongoDB, sono stati colpiti oltre 41.000 server ed anche in altri casi i dispositivi colpiti sono stati davvero tanti. Essendo un numero spropositato di dispositivi coinvolti, se l'azienda sceglie di pagare il riscatto per riavere i propri dati , prima di effettuare il pagamento dovrebbe sempre chiedere ai ladri una prova del loro possesso dei dati (fermo restando che non c'è nessuna garanzia, anche se i dati fossero ancora esistenti, di riavere indietro i file dopo il pagamento).
Come prevenire questo tipo di attacchi...
Questi attacchi non sarebbero un problema se i team IT seguissero le pratiche di sicurezza standard, che implicano l'utilizzo di un sistema di backup automatizzato, l'eliminazione degli account root di MySQL o almeno l'utilizzo di una password complessa contro gli attacchi brute-force. Questa non è la prima volta che vengono violati i server MySQL: era già successo nel 2015, con una serie di attacchi chiamati RansomWeb. In questo caso gli aggressori utilizzarono forum phpBB senza patch per dirottare i database ed ottenere il riscatto.
Nessun commento:
Posta un commento