Fairware attacca i server Linux

Vari amministratori di server basati su Linux riferiscono di attacchi a seguito dei quali scompare la directory web del server, ed i siti risultano così inaccessibili, per un periodo di tempo indeterminato.

Si lamentano di tali attacchi anche gli utenti del forum di BleepingComputer; a giudicare dalla descrizione fornita da una delle vittime, gli assalti informatici in questione sembrerebbero ad ogni caso più simili ad attacchi brute-force nei confronti del protocollo SSH. È interessante rilevare come, in ognuno dei casi che si registrano, venga in pratica eliminata la cartella web; rimane, in sostanza, solo un file <read_me>, contenente il link destinato a condurre verso la pagina di Pastebin che ospita la richiesta di pagamento del riscatto.

I malintenzionati promettono la restituzione dei file nel caso in cui vengano pagati, da parte dell’utente-vittima, 2 Bitcoin, precisando che il server preso di mira è stato “presumibilmente” infettato da una variante di ransomware denominata Fairware. Tuttavia, secondo quanto ha dichiarato Lawrence Abrams, esperto di minacce IT e fondatore di BleepingComputer, tale affermazione potrebbe non essere del tutto veritiera.

“Se l’attacker, per portare l’assalto, carica un programma malevolo o uno script, si può effettivamente parlare di tale circostanza [ransomware], – ha dichiarato l’esperto. – Purtroppo, attualmente, non disponiamo di informazioni sufficienti. Tutti i report testimoniano il fatto che i server sono stati hackerati; per quel che mi riguarda, tuttavia, non ho ancora avuto la possibilità di verificare tutto questo”.

La richiesta di riscatto contiene l’indirizzo di un portafoglio (wallet) Bitcoin; nella circostanza, alla vittima viene proposto di effettuare il pagamento entro due settimane; in caso contrario, i malintenzionati minacciano di rendere di pubblico dominio il contenuto dei file sottratti. “Noi siamo gli unici al mondo in grado di poter ripristinare i vostri file! – recita l’apposita nota collocata su Pastebin. – Quando il vostro server è stato hackerato, i file sono stati codificati, ed inviati ad un server che si trova sotto il nostro diretto controllo!”.

Nella nota pubblicata viene ugualmente indicato un indirizzo di posta elettronica da utilizzare per ottenere il necessario “supporto”; i malintenzionati, tuttavia, intendono impedire alla vittima l’impiego dello stesso, nel caso in cui quest’ultima desideri semplicemente sincerarsi del fatto che i file “persi” si trovino effettivamente presso gli aggressori. “Per il momento, non so cosa essi facciano con i file, – precisa Lawrence Abrams. – Visto che i file vengono rimossi, la cosa che avrebbe più senso, per “custodire” gli stessi, sarebbe quella di archiviare e caricare tali file su un determinato server, e non “preoccuparsi” troppo della loro cifratura, per poi dover tenere traccia delle singole chiavi individuali”.

Tradizionalmente, il ransomware viene distribuito attraverso lo sfruttamento di qualche vulnerabilità, oppure con l’involontario aiuto della vittima stessa, la quale viene in pratica costretta, con l’astuzia o con l’inganno, a lanciare l’esecuzione del file maligno. Nel caso qui esaminato, non sono state individuate prove specifiche di tale attività. Una delle vittime scrive, sul forum di BleepingComputer, che la maggior parte dei propri server Linux non ha subito danni a seguito dell’attacco, e che sono rimasti intatti persino i file del database. Nel post si riferisce, inoltre, che i malintenzionati hanno lasciato un file <read_me> all’interno della cartella di root.

L’eliminazione dei file, ed il rifiuto di confermare il loro “sequestro”, non rappresentano affatto un comportamento abituale, per i malfattori che utilizzano i programmi ransomware. “È del tutto probabile che le cose stiano proprio così [tentativo di estorsione]; in questo caso, però, si tratta di sicuro di una cattiva soluzione, per il “business” condotto dagli attacker, – constata Lawrence Abrams. – Se l’estorsore non mantiene le proprie promesse, una volta effettuato il pagamento del riscatto da parte dell’utente-vittima, il malintenzionato si fa di certo una cattiva fama, e nessuno vorrà mai più pagare il riscatto richiesto dal cyberdelinquente”.

Tuttavia, la nota attraverso la quale si comunica l’avvenuta infezione ad opera di una variante di ransomware, e si minaccia di pubblicare i dati sottratti, è di fatto in grado di sconcertare la vittima, e indurre quindi la stessa a cedere alle richieste degli attacker. Fairware, ad ogni caso, non è la prima cyber-campagna malevola corredata da una simile minaccia. Lo scorso anno, un “espediente” analogo era stato in effetti adottato dagli “operatori” del malware crittografico Chimera, nonostante il loro tool dannoso non fosse, in realtà, in grado di realizzare il furto di file, né, tantomeno, di “divulgare” gli stessi in Rete.

“Le vittime dei famigerati programmi ransomware dovrebbero astenersi dal pagare il riscatto; se comunque, nonostante tutto, si decide di effettuare il pagamento, bisogna perlomeno assicurarsi che colui che “incassa” il denaro sia effettivamente in possesso dei file sottratti”, – consiglia infine Lawrence Abrams.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *