News

Ignoti cyber criminali prendono il controllo di migliaia di server ElasticSearch, poi utilizzati per ospitare malware PoS

Secondo un’analisi condotta dal Kromtech Security Center, migliaia di server ElasticSearch non sicuri stanno attualmente “ospitando” dei malware destinati a colpire i sistemi PoS (Point-of-Sale, “punto di vendita”). I ricercatori hanno individuato, in totale, 15.000 server ElasticSearch privi di determinati parametri di sicurezza; è risultato, inoltre, che il 27 percento di essi (4.000) ospitava due temibili “specie” di malware PoS, ovvero Alina e JackPoS.

“L’assenza di procedure di autenticazione su alcuni server ElasticSearch ha consentito agli attacker di assumere il pieno controllo, in qualità di amministratore, delle istanze esposte,” ha scritto Bob Diachenko, chief communication officer di Kromtech, in un blog post pubblicato martedì scorso, in cui viene descritta la ricerca effettuata.

I server non sicuri, ha affermato Diachenko, hanno in pratica aperto la porta agli hacker, i quali possono poi utilizzare le macchine compromesse per svolgere un’ampia gamma di attività illecite, come, ad esempio, rubare o distruggere i dati custoditi nei server violati, o fare uso di questi ultimi per nascondere dei server C&C di comando e controllo, impiegati, successivamente, nell’ambito del malware PoS.

Kromtech ha dichiarato che il 99% dei server ElasticSearch compromessi risultava ospitato sulla piattaforma Amazon Web Services. “Ogni server ES infetto è divenuto parte di un’estesa botnet PoS, con apposite funzionalità di comando e controllo (C&C) per client dannosi riconducibili alla categoria del malware PoS”, ha inoltre scritto Bob Diachenko nel post.

I server che ospitavano il malware sono stati “reclutati” per la conduzione di apposite campagne malevole, destinate a colpire i sistemi PoS, volte a raccogliere, codificare e trasferire informazioni relative alle carte di credito, dati carpiti, di fatto, dai terminali PoS, dalla memoria RAM o da macchine Windows infette.

Sui server violati è stata in seguito rilevata la presenza di Alina e JackPoS, malware PoS il cui scopo è quello di cercare di sottrarre, dalla memoria del computer sottoposto ad attacco, i dati sensibili relativi alle carte di credito.

Secondo un’analisi condotta in merito al malware PoS, pubblicata nel 2014 da Arbor Networks, il malware Alina è stato sviluppato già nel mese di marzo del 2012.

Kromtech, da parte sua, ha riferito di aver individuato nuovi sample delle tipologie di malware riconducibili ad Alina e JackPoS, aggiungendo poi che i relativi tassi di rilevamento, sulla maggior parte dei motori AntiVirus più diffusi, presentavano valori piuttosto bassi.

“Anche riguardo ai server C&C ormai relativamente datati, adibiti ad ospitare siti malevoli, non vi sono informazioni sufficienti, e l’URL Scanner di VirusTotal, inoltre, non riesce a rilevare la maggior parte di essi,” hanno dichiarato i ricercatori.

I database non sicuri riguardanti, nella circostanza, i server ElasticSearch, Amazon Web Services e MongoDB, non rappresentano tuttavia un elemento di novità. Nel corso degli ultimi 12 mesi, in effetti, sono state colpite numerose istanze relative a server basati sul cloud: attraversi tali attacchi informatici sono stati distrutti dati, sono state condotte attività estorsive da parte dei cybercriminali, oppure sono state sottratte informazioni di natura sensibile.

Secondo Niall Merrigan, ricercatore specializzato in sicurezza IT, nello scorso mese di gennaio sono state effettuate operazioni di “wiping” su 360 istanze di ElasticSearch. In quello stesso periodo, il fondatore di Shodan, John Matherly, stimava che ben 35.000 server ElasticSearch riconducibili ad AWS fossero stati configurati in maniera errata, risultando quindi “esposti” ad Internet, ovvero raggiungibili attraverso la Rete.

Allo stesso modo, sempre nel mese di gennaio dell’anno corrente, Niall Merrigan riferiva riguardo ad un massiccio aumento del numero di database MongoDB sottoposti ad hijacking e divenuti vittima di operazioni ricattatorie, volte ad estorcere denaro: erano stati indicati, nella circostanza, ben 28.000 database violati.

Un’ondata di server compromessi, dai quali sono stati sottratti dati, ha inoltre riguardato anche bucket di storage di S3 AWS, non configurati in maniera corretta.

Nel successivo mese di luglio, gli esperti di sicurezza informatica hanno poi messo in evidenza come un elevato numero di clienti Verizon, tra i sei ed i 14 milioni, fosse stato “lasciato” su un server privo di protezione, appartenente ad un partner della nota società di telecomunicazioni. La settimana precedente, poi, la società World Wide Entertainment, vero e proprio “gigante” del wrestling professionistico, aveva esposto, accidentalmente, i dati personali relativi a tre milioni di fan. Ancor più di recente, lo scorso 5 settembre, è stato infine scoperto che ben quattro milioni di record riguardanti Time Warner Cable, custoditi su un servizio di storage S3 AWS con errata configurazione, risultavano, di fatto, non protetti.

Source: Threatpost

Ignoti cyber criminali prendono il controllo di migliaia di server ElasticSearch, poi utilizzati per ospitare malware PoS

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox