Allarme Nansh0u: Infettati 50.000 Server MS-SQL e PHPMyAdmin.
Alcuni ricercatodi di una società specializzata in Cyber Security hanno pubblicato un rapporto dettagliato su una diffusa campagna di “Cryptojacking” che attacca server Windows MS-SQL e PHPMyAdmin in tutto il mondo. Soprannominato Nansh0u, l’attacco è stato condotto da un gruppo di hacker che ha già infettato quasi 50.000 server e sta installando un sofisticato “Rootkit” in modalità kernel.
Nansh0u non è il “tipico” attacco crypto-miner, utilizza tecniche spesso viste in “APT”, come certificati falsi e exploit di escalation di privilegi. Mentre gli strumenti di attacco avanzati sono normalmente utilizzati da Criminali Informatici altamente qualificati, questo attacco dimostra che questi strumenti possono ora essere utilizzati da attaccanti di non così alto livello.
Può sembrare impossibile, parlarne ancora oggi, ma come prima tecnica di attacco, anche in questo caso, il primo passo è un attacco utilizzando strumenti di “forza-bruta” per rilevare la password, pertanto l’invito è sempre lo stesso, UTILIZZARE password complesse per aumentare la sicurezza dei sistemi informatici.
L’altro suggerimento, nel caso sia veramente necessario esporre i server database su Internet, è quello, fornito anche dalla guida di Microsoft per SQL server per ridurre al minimo il rischio di compromissione dei database, e abbastanza semplice da implementare, è separare il più possibile i server esposti su Internet, dai server interni segmentando la rete , (magari anche attraverso l’utilizzo di Firewall con sistemi IPS avanzati), limitando così il perimetro di “compromissione” dei dispositivi vulnerabili.
I nostri tecnici sono in grado di accertare se anche i vostri sistemi sono stati compromessi. Non esitate a contattarci per una verifica sui vostri sistemi
RANSOMWARE, ANCORA IN POLE POSITION NELLE STRATEGIE DEI CYBERCRIMINALI.
Nel primo semestre 2018, i “Ransomware” continuano ad essere gli strumenti preferiti dalla criminalità informatica con danni stimati in centinaia di milioni di dollari in tutto il mondo. La criminalità sfrutta questi tipi di malware, rendendo indisponibili i dati del malcapitato, chiedendogli un riscatto che varia mediamente da € 100 a € 500 (ovviamente in cryptovalute) ma possono arrivare anche a € 10.000/ €15.000 per fornire la “chiave” per recuperare i dati. Anche se l’invito è di NON PAGARE alcuna cifra (anche nel caso di cifre esigue), in quanto questo pagamento non solo alimenta di fatto la criminalità ma la spinge a perpetuare questo tipo di reato con strumenti sempre più efficaci, si continuano a registrare numeri sempre costanti di vittime che non avendo altre speranze di recuperare i propri dati, pagano l’importo richiesto con la speranza di ricevere le istruzioni che però spesso non arriveranno mai o comunque inutili perché magari nel frattempo i sever con le chiavi sono stati chiusi.
Fare vittime con i Ransomware per i criminali informatici è molto semplice e non richiede strategie di “Hacking” avanzate come possono invece essere richieste per “attaccare” o “colpire” uno determinato, specifico obiettivo.
Di fatto, per i criminali, non è importante chi si colpisce ma colpire il più alto numero possibile di vittime, non importa se si tratta di un singolo utente magari uno studente o una casalinga, un impresa artigiana, un libero professionista, una multinazionale o un ospedale, quello che conta è il numero delle vittime perché di fatto più sono le vittime colpite più alto sarà il numero di possibili “disperati” che, non vedendo altre possibilità di recuperare i propri dati in quanto il piano di “Disaster Recovery” non ha funzionato o peggio è ASSENTE, pagheranno il riscatto !!
MAI SENTITO PARLARE DI ANTI-TAMPER ?
I malware di oggi sono molto più pericolosi di un tempo anche perché sviluppati sempre più da “professionisti” del crimine.
Niente è più lasciato al caso, per esempio il fatto che un malware, oggi, riesca a “bucare” un sistema di protezione, non garantisce ai criminali che questo possa continuare a lavorare indisturbato anche domani, pertanto, l’evoluzione dei malware più aggressivi e persistenti, tra le prime funzioni che sono programmati a svolgere c’è appunto quella di “DISABILITARE” l’antivirus o il sistema avanzato di protezione.
Ecco, questa è la funzione ANTI TAMPER ovvero ANTI MANOMISSIONE dell’antivirus o del sistema di protezione evitando così che il malware “disabiliti” / “arresti” il sistema di protezione stesso continuando così a lavorare indisturbato !!
CRITICITA’ SICUREZZA ACCOUNT WINDOWS
Alcuni recenti bollettini di sicurezza hanno evidenziato la frequentissima compromissione degli account Windows con password semplici, mediante attacchi di nuova generazione. Verificate le eventuali “vulnerabilità” presenti negli account di Windows dei vostri PC e correte subito ai ripari ponendovi rimedio.
I controlli e le operazioni basilari da effettuare:
- Verificare la presenza di account Windows senza password ;
- Accertarsi che le password degli account siano “complesse” ;
- Rimuovere gli utenti di uso “comune” dagli “Account amministrativi”.
Come già riportato nel nostro articolo “La scelta della vostra password è assolutamente vitale per la sicurezza delle vostre informazioni” reperibile al link http://bit.ly/2wymKO6 la complessità della password è un requisito basilare per proteggere le vostre informazioni e conseguentemente può essere valutato come un requisito “BASE” per gli adempimenti della normativa GDPR.
Se non avete familiarità con questi temi e volete controllare che il vostro “account” non sia vulnerabile, contattateci senza impegno, un nostro tecnico si metterà in contatto con voi.
SPECTRE e MELTDOWN: TUTTI A RISCHIO !!!
Questo 2018 apre malissimo anche sul fronte “Attacchi Informatici”, due gigantesche vulnerabilità denominate Meltdown e Spectre, scoperte recentemente, hanno preso d’assalto il mondo intero, mentre i produttori stanno facendo salti mortali, affrettandosi a correggere le vulnerabilità dei propri prodotti (i maligni dicono per evitare anche future “class action” che potrebbero potenzialmente costargli miliardi di dollari). Il vero punto è che questa vulnerabilità interessa moltissimi dei moderni processori dei maggiori produttori (INTEL, AMD, ARM) e riguarda tutti i sistemi operativi più diffusi (Windows, macOS, Android, iOS, Linux, FreeBSD e altri) dei dispositivi informatici (SERVER, PC, Notebook, Tablet, Smartphone, ecc.).
Sfruttando queste vulnerabilità, un attacco, potrebbe consentire all’aggressore di rubare password, chiavi di crittografia, informazioni private, foto, documenti, ecc. Ovviamente per “sfruttare” questa vulnerabilità e accedere con accesso privilegiato alla memoria e quindi sfruttando la vulnerabilità dei processori accedere al sistema, l’aggressore deve utilizzare una applicazione/programma appositamente compromesso o un malware appositamente progettato, pertanto le regole da rispettare per non incorrere in questo rischio, sono sempre le stesse per mantenere i nostri sistemi in sicurezza:
- mantenere aggiornato il sistema operativo
- mantenere aggiornate le applicazioni installate
- utilizzare solo programmi originali
- utilizzare sistemi avanzati di protezione dalle minacce sconosciute
- utilizzare firewall con sistemi di controllo applicativo
- non scaricare programmi di cui non siamo certi della fonte
- non aprire email sospette
- non manomettere il sistema operativo