La minaccia

Sicurezza, attenzione al Ransomware che oscura i server

di Alessia Baldassarre |

Anche i server adesso finiscono sotto l’attacco dei nuovi Malware che sfruttano delle “porte” aperte per bloccare il corretto funzionamento dei dispositivi tecnologici.

Il 2017 del cybercrimine si è aperto proseguendo la strada tracciata dal 2016, e ovvero nel segno dei ransomware; se c’è un termine che descrive al meglio le azioni dei “pirati informatici” nel corso dello scorso anno, infatti, è proprio questo che definisce la tipologia di attacco che blocca i dispositivi tecnologici in attesa del pagamento di un riscatto (dall’inglese, appunto, ransom).

Ma se lo scorso anno nel mirino degli Hacker sono finiti soprattutto computer e affini, in queste prime settimane del 2017 la minaccia informatica ha riguardato anche i server, e in particolare quelli messi a punto da MongoDB, il più popolare database NoSQL (per capire, usato anche da Cern, eBay e FourSquare!). Secondo alcuni ricercatori, ci sarebbero già circa 30.000 database colpiti soltanto da inizio anno, a riprova di una sorta di “epidemia” nata da una porta aperta.

Come spiegato anche dai tecnici di Flamenetworks, l’azienda italiana specializzata in servizi hosting professionali e installazione di server virtuali per il business, i cybercriminali avrebbero infatti sfruttato una errata configurazione dei database, e per la precisione la “porta 27017” lasciata aperta dalle più comuni configurazioni dei server, che risultano incomplete o non portate a termine. Attraverso un tool specifico realizzato dai cracker, i database MongoDB sono divenuti accessibili dall’esterno e, in alcuni casi, cancellati completamente in assenza del riscatto richiesto, che si aggirava intorno alla somma di 200 dollari in bitcoin.

L’attacco dei cyber criminali 

Nel caso in esame, nella root principale del database viene creato un file di testo chiamato README (o un nome simile) che contiene al suo interno la richiesta di un pagamento per riavere indietro il sistema MongoDB, che risulta crittografato o semplicemente cancellato. In realtà, analizzando gli effetti sui quasi 30 mila database colpiti, gli esperti che sono intervenuti hanno riscontrato un atteggiamento diverso rispetto al classico ricatto: l’operazione, infatti, non ha previsto una reale codifica degli archivi o il trasferimento su altri server, ma una cancellazione in toto dei database infettati (forse senza neppure una copia) seguita dalla richiesta di pagamento. Insomma, una doppia truffa.

Quali sistemi rischiano?

 Ovviamente ci sono alcune specificazioni da fare, a cominciare dal fatto che non tutti i database MongoDB sono vulnerabili a questi attacchi. I più a rischio, infatti, sono come detto quelli configurati in modo errato, quelli in cui si è scelta una procedura manuale di impostazione (senza però posizionare bene gli scudi che consentono l’accesso ai file solo agli utenti autorizzati) e per i quali non è stata impostata una password di amministratore. Inoltre, come ogni volta che si parla di ransomware non vi è alcuna certezza che, seppur pagata la somma, il database sequestrato torni in possesso dei legittimi proprietari, che il cyber criminale non abbia effettuato una copia su un proprio server o che, successivamente, si potrebbe essere nuovamente vittime di altri attacchi di questo tipo.

Come difendersi

I mezzi per difendersi, però, non sono assolutamente complicati: innanzitutto, bisogna completare la procedura di installazione di default dei database, che prevede di default una protezione contro “occhi indiscreti” attraverso un sistema di validazione degli accessi solo da localhost. Secondo aspetto di sicurezza è anche effettuare backup regolari dei propri server, che possono essere poi ripristinati all’occorrenza in qualsiasi momento e a seguito di qualsiasi evento.

Per approfondimenti:

http://www.ransomware.it/

https://www.flamenetworks.com/vps