martedì 13 marzo 2018

Campagna Coinminer bersaglia i Server Windows, Redis e Apache Solr


I server Windows, Apache Solr e Redis sono stati presi di mira da ignoti gruppi di cyber criminali in cerca di macchine vulnerabili per installare malware per il mining di criptovaluta (coinminer). Sono state individuate due diverse campagne, una di Imperva crew, che ha individuato quella contro i server Windows e Redis e una da ISC SANS, che ha individuato invece quella contro le installazioni Apache Solr.

La campagna contro i server Redis e Windows
La più attiva tra le due campagne è stata quella individuata da Imperva, soprannominata RedisWannaMine. E' attualmente ancora in corso e sta scansionando Internet in maniera massiva in cerca di server vulnerabili all'exploit CVE-2017-9805, perché eseguenti versioni obsolete di Redis. Una volta ottenuto l'accesso all'host, la catena di infezione tipica per ora rilevata consiste nella copia del malware ReddisWannaMine che, in un secondo momento, installa il miner di criptomoneta. Ma la campagna ReddisWannaMine mostra anche il comportamento classico di auto propagazione tipico dei worm: ciò è possibile perché gli attaccanti usano gli stessi server infetti per eseguire ulteriori scansioni di massa e eseguire l'exploit su altre macchine bersaglio individuate come vulnerabili.

A peggiorare lo scenario c'è il fatto che le scansioni non mirano soltanto ai server Redis, ma cercano
anche server Windows con le porte SMB esposte. In questo caso gli attaccanti hanno implementato l'exploit EternalBlue, lo strumento di diffusione di WannaCry (probabilmente il peggior attacco ransomware della storia), sfuggito al controllo dell'NSA, l'Agenzia di Sicurezza Nazionale statunitense. Anche in questo caso l'exploit serve a accedere all'host, scaricando il malware e avviando il mining, che pare essere l'obiettivo unico di questa campagna.


Va detto che non è la prima che una campagna per la diffusione di miner di criptovaluta colpisce i server Redis: già nei primi di Febbraio un'altra campagna ha fruttato agli attaccanti quasi 1 milione di dollari con attacchi mirati contro server Redis e OrientDB: distribuiva un malware per il mining molto simile a quello attualmente in diffusione.

La campagna contro Apache Solr
L'altra campagna in oggetto, comunque molto attiva, colpisce i server Apache Solr che non hanno installata la patch per la vulnerabilità CVE-2017-12629. Esattamente come ReddisWannaMine, anche questo gruppo di attaccanti mira esclusivamente a infettare le vittime con un miner di criptovaluta. I ricercatori di ISC SANS non hanno notificato nessun meccanismo di auto propagazione, suggerendo quindi che le infezioni sembrano avere origine da una sola postazione centrale: hanno quantificato i server per ora infetti, ammontanti a circa 1.780 nel periodo tra il 28 Febbraio e l'8 Marzo. 

Per mettersi al sicuro....
servono le patch. Per Redis e Windows server è pittosto faicle, essendo sistemi standalone. Per Apache Solr è più complesso perchè spesso è incorporato in altri software più complessi e l'applicazione di patch è più complicata di come può sembrare dato che l'aggiornamento di Solr potrebbe interrompere i sistemi interni che dipendono da questo. 

Nessun commento:

Posta un commento