News

CZ.NIC rileva un sensibile inasprimento degli attacchi brute-force diretti a Telnet

Secondo i dati resi noti dall’amministratore del dominio nazionale della Repubblica Ceca, l’associazione CZ.NIC, verso la fine del mese di maggio è considerevolmente aumentato il numero dei tentativi effettuati – tramite attacchi brute-force nei confronti di Telnet – per ottenere l’accesso remoto a dispositivi connessi in Rete; il volume complessivo di tali attacchi si è rivelato essere di ben tre volte superiore al numero totale di assalti informatici analoghi rivolti al protocollo SSH. Nel corso dei mesi successivi, il flusso malevolo diretto alle “trappole” Telnet appositamente predisposte dall’operatore CZ.NIC ha fatto registrare una lieve diminuzione, anche se, finora, esso è risultato doppio rispetto al livello per esso riscontrato nella primavera scorsa. Si è potuto nel frattempo determinare che l’attività dannosa principale si concentra su router domestici e telecamere adibite alla videosorveglianza; con ogni probabilità, i malintenzionati stanno costruendo una nuova botnet (per la conduzione di attacchi DDoS, ad esempio), oppure stanno ampliando l’estensione di reti-zombie già esistenti.

Secondo quanto asseriscono i ricercatori cechi, sia Telnet, sia SSH, vengono utilizzati, nella circostanza, per interagire da remoto con i dispositivi presi di mira; entrambi offrono l’accesso tramite console interattiva, e tale caratteristica fa sì che essi godano di particolare “popolarità”, presso i potenziali malfattori. Occorre tuttavia sottolineare come, durante questi ultimi anni, il protocollo SSH, che offre, indiscutibilmente, maggiori garanzie di sicurezza, sia divenuto, “de facto”, lo standard utilizzato per tale genere di connessioni; coloro che intraprendono attacchi a forza bruta sono perfettamente a conoscenza di tale elemento, e quindi, abitualmente, scelgono proprio tale servizio come bersaglio prediletto. Il repentino aumento del numero dei tentativi di login remoto tramite Telnet può essere considerato, pertanto, un fenomeno tutt’altro che ordinario; gli esperti che operano presso l’associazione CZ.NIC hanno quindi deciso di cercare di comprendere bene cosa stesse effettivamente succedendo.

In primo luogo, essi hanno rilevato un significativo aumento del numero degli indirizzi IP dai quali venivano condotti gli attacchi in questione. “Si è registrato un particolare momento in cui il parametro giornaliero relativo al numero di indirizzi IP unici è addirittura cresciuto da circa 30.000 ad oltre 100.000 unità”, – scrive Bedřich Košata sul blog di CZ.NIC. Suddividendo per paesi le fonti geografiche del traffico brute-force in questione, è emerso come la maggior parte dello stesso provenisse dal territorio di Cina, Brasile, India, Taiwan e Vietnam. È stato ugualmente osservato un significativo aumento delle attività malevole condotte attraverso ulteriori indirizzi IP; tale incremento, tuttavia, non si è dimostrato particolarmente rilevante.

L’utilizzo del noto motore di ricerca Shodan ha permesso di stabilire che, su 6,5 milioni di IP complessivamente coinvolti negli attacchi brute-force qui descritti, oltre 1.800.000 di tali indirizzi (poco più del 27%) poteva essere associato a server HTTP e RTSP (Real Time Streaming Protocol), di tipo embedded. È stato rilevato, nella circostanza, come il livello di attività nociva più elevato sia stato fatto registrare dai webserver RomPager, utilizzati nell’ambito di numerosi router domestici ben conosciuti per serie vulnerabilità di sicurezza da essi manifestate in passato. Il secondo posto di tale particolare graduatoria è andato ad appannaggio di una versione ormai obsoleta del popolare toolkit gSOAP. All’interno della speciale classifica relativa ai prodotti maggiormente “attivi”, troviamo poi, in successione, H264DVR 1.0 (tale sigla identifica un server RTSP per prodotti DVR online) ed i server RTSP riconducibili a Dahua Technology, impiegati nell’ambito delle telecamere di videosorveglianza (CCTV).

Al momento attuale, CZ.NIC registra, ogni giorno, la comparsa di circa 20.000 nuovi indirizzi IP in grado di generare traffico dannoso. Per fare in modo che gli utenti possano verificare se, nel quadro della cyber-campagna malevola attualmente in corso, i propri dispositivi siano stati compromessi o meno, i ricercatori hanno allestito un apposito servizio online, AmIHacked.turris.cz. Indipendentemente dal risultato che si può ottenere attraverso tale verifica, Bedřich Košata consiglia, in ogni caso, di limitare le possibilità di accesso ai dispositivi “intelligenti” connessi in Rete, ponendo a protezione degli stessi opportuni firewall.

Fonte: CZ.NIC

CZ.NIC rileva un sensibile inasprimento degli attacchi brute-force diretti a Telnet

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox