Allarme Nansh0u: Infettati 50.000 Server MS-SQL e PHPMyAdmin.
Alcuni ricercatodi di una società specializzata in Cyber Security hanno pubblicato un rapporto dettagliato su una diffusa campagna di “Cryptojacking” che attacca server Windows MS-SQL e PHPMyAdmin in tutto il mondo. Soprannominato Nansh0u, l’attacco è stato condotto da un gruppo di hacker che ha già infettato quasi 50.000 server e sta installando un sofisticato “Rootkit” in modalità kernel.
Nansh0u non è il “tipico” attacco crypto-miner, utilizza tecniche spesso viste in “APT”, come certificati falsi e exploit di escalation di privilegi. Mentre gli strumenti di attacco avanzati sono normalmente utilizzati da Criminali Informatici altamente qualificati, questo attacco dimostra che questi strumenti possono ora essere utilizzati da attaccanti di non così alto livello.
Può sembrare impossibile, parlarne ancora oggi, ma come prima tecnica di attacco, anche in questo caso, il primo passo è un attacco utilizzando strumenti di “forza-bruta” per rilevare la password, pertanto l’invito è sempre lo stesso, UTILIZZARE password complesse per aumentare la sicurezza dei sistemi informatici.
L’altro suggerimento, nel caso sia veramente necessario esporre i server database su Internet, è quello, fornito anche dalla guida di Microsoft per SQL server per ridurre al minimo il rischio di compromissione dei database, e abbastanza semplice da implementare, è separare il più possibile i server esposti su Internet, dai server interni segmentando la rete , (magari anche attraverso l’utilizzo di Firewall con sistemi IPS avanzati), limitando così il perimetro di “compromissione” dei dispositivi vulnerabili.
I nostri tecnici sono in grado di accertare se anche i vostri sistemi sono stati compromessi. Non esitate a contattarci per una verifica sui vostri sistemi