Milano – Si intrufolano in una porta lasciata aperta, bloccano il servizio e chiedono un riscatto: è questa la dinamica che diversi esperti di sicurezza – tra cui Victor Gevers, Niall Merrigan e John Matherly – hanno ricostruito nelle scorse ore. Un nuovo caso di ransomware : oggetto del “sequestro” sono database MongoDB malconfigurati e soggetti dunque ad accessi abusivi, a cui i malintenzionati hanno accesso e che modificano per far sparire i dati e chiedere un riscatto in cambio del loro rilascio. Peccato che, come testimoniano alcuni report, si tratti più di una truffa che di un ricatto.
Le cifre parlano di oltre 11mila database coinvolti, altre stime arrivano a 27mila: alla base della vulnerabilità non c’è un bug , bensì un eccesso di confidenza nella configurazione dei database che lascia aperta (letteralmente) una porta. Attraverso la porta 27017 i malintenzionati si intrufolano nell’installazione MongoDB e lasciano come unica traccia un messaggio sotto la dictura “leggimi” (README, oppure PLEASE_READ) o “contattami” (CONTACTME). Nei messaggi lasciati sui server c’è la richiesta di un riscatto, da pagare tipicamente a mezzo bitcoin, per una cifra che si aggira sui 200 dollari: una volta pagato, si otterrà il proprio database indietro.
Please STOP paying the ransom. There is no evidence that they actual copied your database. Get a local expert to have your log files checked https://t.co/YxRD5uNMVY
— Victor Gevers (@0xDUDE) January 5, 2017
Al contrario di quanto accade però con i malware di tipo ransomware sui PC, dove il virus provvede a cifrare il contenuto dell’hard disk e offrire lo sblocco in cambio di una contropartita in denaro, gli esperti in questo caso mettono in guardia : nella stragrande maggioranza dei casi gli attaccanti non codificano i dati, né si prendono la briga di copiarli altrove per poi restituirli al legittimo proprietario. Semplicemente cancellano tutto e poi lasciano l’avviso per chiedere il riscatto: pagare non serve a niente, i dati da recuperare semplicemente non ci sono più. Si tratta quindi di una truffa, e non di un ricatto: sono diversi i singoli attacanti, o crew, che stanno effettuando questo tipo di operazione e solo in caso o due effettivamente si tratta di un ricatto e non di una truffa. Nella stragrande maggioranza dei casi i database sono stati direttamente cancellati senza alcun backup .
Ci sono delle misure piuttosto semplici da adottare per evitare di rimanere vittima di questo tipo di situazione. Sul sito di MongoDB suggeriscono le contromisure più efficaci, tra cui banalmente limitarsi alla configurazione di default che si trova a bordo dei proprio server una volta installato il pacchetto del database (configurato per accettare accessi solo da localhost): il prodotto è sicuro, in questo caso non ci sono bug sfruttati per ottenere privilegi indebiti, bensì si tratta di semplice superficialità nell’utilizzo di uno strumento potente in mani imprudenti può ritorcersi contro i suoi gestori.
Luca Annunziata
Ti potrebbe interessare
10 gen 2017