News

Fairware attacca i server Linux

Vari amministratori di server basati su Linux riferiscono di attacchi a seguito dei quali scompare la directory web del server, ed i siti risultano così inaccessibili, per un periodo di tempo indeterminato.

Si lamentano di tali attacchi anche gli utenti del forum di BleepingComputer; a giudicare dalla descrizione fornita da una delle vittime, gli assalti informatici in questione sembrerebbero ad ogni caso più simili ad attacchi brute-force nei confronti del protocollo SSH. È interessante rilevare come, in ognuno dei casi che si registrano, venga in pratica eliminata la cartella web; rimane, in sostanza, solo un file <read_me>, contenente il link destinato a condurre verso la pagina di Pastebin che ospita la richiesta di pagamento del riscatto.

I malintenzionati promettono la restituzione dei file nel caso in cui vengano pagati, da parte dell’utente-vittima, 2 Bitcoin, precisando che il server preso di mira è stato “presumibilmente” infettato da una variante di ransomware denominata Fairware. Tuttavia, secondo quanto ha dichiarato Lawrence Abrams, esperto di minacce IT e fondatore di BleepingComputer, tale affermazione potrebbe non essere del tutto veritiera.

“Se l’attacker, per portare l’assalto, carica un programma malevolo o uno script, si può effettivamente parlare di tale circostanza [ransomware], – ha dichiarato l’esperto. – Purtroppo, attualmente, non disponiamo di informazioni sufficienti. Tutti i report testimoniano il fatto che i server sono stati hackerati; per quel che mi riguarda, tuttavia, non ho ancora avuto la possibilità di verificare tutto questo”.

La richiesta di riscatto contiene l’indirizzo di un portafoglio (wallet) Bitcoin; nella circostanza, alla vittima viene proposto di effettuare il pagamento entro due settimane; in caso contrario, i malintenzionati minacciano di rendere di pubblico dominio il contenuto dei file sottratti. “Noi siamo gli unici al mondo in grado di poter ripristinare i vostri file! – recita l’apposita nota collocata su Pastebin. – Quando il vostro server è stato hackerato, i file sono stati codificati, ed inviati ad un server che si trova sotto il nostro diretto controllo!”.

Nella nota pubblicata viene ugualmente indicato un indirizzo di posta elettronica da utilizzare per ottenere il necessario “supporto”; i malintenzionati, tuttavia, intendono impedire alla vittima l’impiego dello stesso, nel caso in cui quest’ultima desideri semplicemente sincerarsi del fatto che i file “persi” si trovino effettivamente presso gli aggressori. “Per il momento, non so cosa essi facciano con i file, – precisa Lawrence Abrams. – Visto che i file vengono rimossi, la cosa che avrebbe più senso, per “custodire” gli stessi, sarebbe quella di archiviare e caricare tali file su un determinato server, e non “preoccuparsi” troppo della loro cifratura, per poi dover tenere traccia delle singole chiavi individuali”.

Tradizionalmente, il ransomware viene distribuito attraverso lo sfruttamento di qualche vulnerabilità, oppure con l’involontario aiuto della vittima stessa, la quale viene in pratica costretta, con l’astuzia o con l’inganno, a lanciare l’esecuzione del file maligno. Nel caso qui esaminato, non sono state individuate prove specifiche di tale attività. Una delle vittime scrive, sul forum di BleepingComputer, che la maggior parte dei propri server Linux non ha subito danni a seguito dell’attacco, e che sono rimasti intatti persino i file del database. Nel post si riferisce, inoltre, che i malintenzionati hanno lasciato un file <read_me> all’interno della cartella di root.

L’eliminazione dei file, ed il rifiuto di confermare il loro “sequestro”, non rappresentano affatto un comportamento abituale, per i malfattori che utilizzano i programmi ransomware. “È del tutto probabile che le cose stiano proprio così [tentativo di estorsione]; in questo caso, però, si tratta di sicuro di una cattiva soluzione, per il “business” condotto dagli attacker, – constata Lawrence Abrams. – Se l’estorsore non mantiene le proprie promesse, una volta effettuato il pagamento del riscatto da parte dell’utente-vittima, il malintenzionato si fa di certo una cattiva fama, e nessuno vorrà mai più pagare il riscatto richiesto dal cyberdelinquente”.

Tuttavia, la nota attraverso la quale si comunica l’avvenuta infezione ad opera di una variante di ransomware, e si minaccia di pubblicare i dati sottratti, è di fatto in grado di sconcertare la vittima, e indurre quindi la stessa a cedere alle richieste degli attacker. Fairware, ad ogni caso, non è la prima cyber-campagna malevola corredata da una simile minaccia. Lo scorso anno, un “espediente” analogo era stato in effetti adottato dagli “operatori” del malware crittografico Chimera, nonostante il loro tool dannoso non fosse, in realtà, in grado di realizzare il furto di file, né, tantomeno, di “divulgare” gli stessi in Rete.

“Le vittime dei famigerati programmi ransomware dovrebbero astenersi dal pagare il riscatto; se comunque, nonostante tutto, si decide di effettuare il pagamento, bisogna perlomeno assicurarsi che colui che “incassa” il denaro sia effettivamente in possesso dei file sottratti”, – consiglia infine Lawrence Abrams.

Fonte: Threatpost

Fairware attacca i server Linux

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox