[NEWS] MongoDB, database in ostaggio

[c.m.g]

martedì 10 gennaio 2017

Spoiler:

Quote: Il ransomware prende di mira anche le installazioni del software non correttamente configurate. Ma più che un ricatto a scopo di estorsione, si tratta di una truffa

Milano - Si intrufolano in una porta lasciata aperta, bloccano il servizio e chiedono un riscatto: è questa la dinamica che diversi esperti di sicurezza - tra cui Victor Gevers, Niall Merrigan e John Matherly - hanno ricostruito nelle scorse ore. Un nuovo caso di ransomware: oggetto del "sequestro" sono database MongoDB malconfigurati e soggetti dunque ad accessi abusivi, a cui i malintenzionati hanno accesso e che modificano per far sparire i dati e chiedere un riscatto in cambio del loro rilascio. Peccato che, come testimoniano alcuni report, si tratti più di una truffa che di un ricatto.

Le cifre parlano di oltre 11mila database coinvolti, altre stime arrivano a 27mila: alla base della vulnerabilità non c'è un bug, bensì un eccesso di confidenza nella configurazione dei database che lascia aperta (letteralmente) una porta. Attraverso la porta 27017 i malintenzionati si intrufolano nell'installazione MongoDB e lasciano come unica traccia un messaggio sotto la dictura "leggimi" (README, oppure PLEASE_READ) o "contattami" (CONTACTME). Nei messaggi lasciati sui server c'è la richiesta di un riscatto, da pagare tipicamente a mezzo bitcoin, per una cifra che si aggira sui 200 dollari: una volta pagato, si otterrà il proprio database indietro.



Al contrario di quanto accade però con i malware di tipo ransomware sui PC, dove il virus provvede a cifrare il contenuto dell'hard disk e offrire lo sblocco in cambio di una contropartita in denaro, gli esperti in questo caso mettono in guardia: nella stragrande maggioranza dei casi gli attaccanti non codificano i dati, né si prendono la briga di copiarli altrove per poi restituirli al legittimo proprietario. Semplicemente cancellano tutto e poi lasciano l'avviso per chiedere il riscatto: pagare non serve a niente, i dati da recuperare semplicemente non ci sono più. Si tratta quindi di una truffa, e non di un ricatto: sono diversi i singoli attacanti, o crew, che stanno effettuando questo tipo di operazione e solo in caso o due effettivamente si tratta di un ricatto e non di una truffa. Nella stragrande maggioranza dei casi i database sono stati direttamente cancellati senza alcun backup.Ci sono delle misure piuttosto semplici da adottare per evitare di rimanere vittima di questo tipo di situazione. Sul sito di MongoDB suggeriscono le contromisure più efficaci, tra cui banalmente limitarsi alla configurazione di default che si trova a bordo dei proprio server una volta installato il pacchetto del database (configurato per accettare accessi solo da localhost): il prodotto è sicuro, in questo caso non ci sono bug sfruttati per ottenere privilegi indebiti, bensì si tratta di semplice superficialità nell'utilizzo di uno strumento potente in mani imprudenti può ritorcersi contro i suoi gestori.

Luca Annunziata




Fonte: Punto Informatico