Ignoti cyber criminali prendono il controllo di migliaia di server ElasticSearch, poi utilizzati per ospitare malware PoS

Secondo un’analisi condotta dal Kromtech Security Center, migliaia di server ElasticSearch non sicuri stanno attualmente “ospitando” dei malware destinati a colpire i sistemi PoS (Point-of-Sale, “punto di vendita”). I ricercatori hanno individuato, in totale, 15.000 server ElasticSearch privi di determinati parametri di sicurezza; è risultato, inoltre, che il 27 percento di essi (4.000) ospitava due temibili “specie” di malware PoS, ovvero Alina e JackPoS.

“L’assenza di procedure di autenticazione su alcuni server ElasticSearch ha consentito agli attacker di assumere il pieno controllo, in qualità di amministratore, delle istanze esposte,” ha scritto Bob Diachenko, chief communication officer di Kromtech, in un blog post pubblicato martedì scorso, in cui viene descritta la ricerca effettuata.

I server non sicuri, ha affermato Diachenko, hanno in pratica aperto la porta agli hacker, i quali possono poi utilizzare le macchine compromesse per svolgere un’ampia gamma di attività illecite, come, ad esempio, rubare o distruggere i dati custoditi nei server violati, o fare uso di questi ultimi per nascondere dei server C&C di comando e controllo, impiegati, successivamente, nell’ambito del malware PoS.

Kromtech ha dichiarato che il 99% dei server ElasticSearch compromessi risultava ospitato sulla piattaforma Amazon Web Services. “Ogni server ES infetto è divenuto parte di un’estesa botnet PoS, con apposite funzionalità di comando e controllo (C&C) per client dannosi riconducibili alla categoria del malware PoS”, ha inoltre scritto Bob Diachenko nel post.

I server che ospitavano il malware sono stati “reclutati” per la conduzione di apposite campagne malevole, destinate a colpire i sistemi PoS, volte a raccogliere, codificare e trasferire informazioni relative alle carte di credito, dati carpiti, di fatto, dai terminali PoS, dalla memoria RAM o da macchine Windows infette.

Sui server violati è stata in seguito rilevata la presenza di Alina e JackPoS, malware PoS il cui scopo è quello di cercare di sottrarre, dalla memoria del computer sottoposto ad attacco, i dati sensibili relativi alle carte di credito.

Secondo un’analisi condotta in merito al malware PoS, pubblicata nel 2014 da Arbor Networks, il malware Alina è stato sviluppato già nel mese di marzo del 2012.

Kromtech, da parte sua, ha riferito di aver individuato nuovi sample delle tipologie di malware riconducibili ad Alina e JackPoS, aggiungendo poi che i relativi tassi di rilevamento, sulla maggior parte dei motori AntiVirus più diffusi, presentavano valori piuttosto bassi.

“Anche riguardo ai server C&C ormai relativamente datati, adibiti ad ospitare siti malevoli, non vi sono informazioni sufficienti, e l’URL Scanner di VirusTotal, inoltre, non riesce a rilevare la maggior parte di essi,” hanno dichiarato i ricercatori.

I database non sicuri riguardanti, nella circostanza, i server ElasticSearch, Amazon Web Services e MongoDB, non rappresentano tuttavia un elemento di novità. Nel corso degli ultimi 12 mesi, in effetti, sono state colpite numerose istanze relative a server basati sul cloud: attraversi tali attacchi informatici sono stati distrutti dati, sono state condotte attività estorsive da parte dei cybercriminali, oppure sono state sottratte informazioni di natura sensibile.

Secondo Niall Merrigan, ricercatore specializzato in sicurezza IT, nello scorso mese di gennaio sono state effettuate operazioni di “wiping” su 360 istanze di ElasticSearch. In quello stesso periodo, il fondatore di Shodan, John Matherly, stimava che ben 35.000 server ElasticSearch riconducibili ad AWS fossero stati configurati in maniera errata, risultando quindi “esposti” ad Internet, ovvero raggiungibili attraverso la Rete.

Allo stesso modo, sempre nel mese di gennaio dell’anno corrente, Niall Merrigan riferiva riguardo ad un massiccio aumento del numero di database MongoDB sottoposti ad hijacking e divenuti vittima di operazioni ricattatorie, volte ad estorcere denaro: erano stati indicati, nella circostanza, ben 28.000 database violati.

Un’ondata di server compromessi, dai quali sono stati sottratti dati, ha inoltre riguardato anche bucket di storage di S3 AWS, non configurati in maniera corretta.

Nel successivo mese di luglio, gli esperti di sicurezza informatica hanno poi messo in evidenza come un elevato numero di clienti Verizon, tra i sei ed i 14 milioni, fosse stato “lasciato” su un server privo di protezione, appartenente ad un partner della nota società di telecomunicazioni. La settimana precedente, poi, la società World Wide Entertainment, vero e proprio “gigante” del wrestling professionistico, aveva esposto, accidentalmente, i dati personali relativi a tre milioni di fan. Ancor più di recente, lo scorso 5 settembre, è stato infine scoperto che ben quattro milioni di record riguardanti Time Warner Cable, custoditi su un servizio di storage S3 AWS con errata configurazione, risultavano, di fatto, non protetti.

Source: Threatpost

Post correlati

Leave a Reply

Your email address will not be published. Required fields are marked *