Colpisce oltre 27mila server il ransomware che oscura i database MongoDB

Colpisce oltre 27mila server il ransomware che oscura i database MongoDB

Presi di mira sistemi non configurati correttamente e installazioni software incomplete. Il rischio? Archivi cancellati senza backup

Si sta diffondendo a macchia d’olio quella che possiamo considerare come la prima minaccia informatica del 2017. Diversi team di cracker hanno imparato a sfruttare la porta 27017 lasciata aperta dalle più comuni configurazioni dei server incomplete o non portate a termine. Accade cioè che quando non ci si affida a configurazioni di default del sistema ma si procede manualmente, senza conoscere per bene quali scudi posizionare (anche basilari) per consentire solo agli utenti autorizzati di accedere ai file, terzi possano intrufolarsi e compiere più di un anno che, come sempre più spesso accade, comporta perdite economiche oltre che informatiche. Attraverso un tool realizzato ad hoc, i cyber criminali possono scannerizzare la rete alla ricerca di server con la porta 27017 lasciata aperta, attraverso la quale entrano per comunicare una richiesta di riscatto.

Di cosa si tratta

Nello specifico, viene creato un file di testo chiamato README (o qualcosa di simile) nella root principale, all’interno del quale c’è la richiesta di un pagamento sotto forma di bitcoin per riottenere il database MongoDB crittografato o semplicemente cancellato. Tuttavia, come affermano i primi esperti che si stanno occupando del caso, tra cui Niall Merrigan, John Matherly e Victor Gevers, più che un classico riscatto, dietro l’operazione pare esservi una vera e propria truffa, visto che gli aggressori non codificano realmente gli archivi o li spostano su propri server ma procedono con una cancellazione in toto senza preoccuparsi di tenere una copia, così da ottenere il pagamento e sparire per sempre. Come tutelarsi? Non è così difficile: ad esempio basterebbe terminare la procedura di installazione di default dei database per accorgersi che è già prevista una protezione contro occhi indiscreti, tramite una validazione degli accessi solo da localhost ma anche la best practice di effettuare backup regolari dei propri server, così da ripristinarli in seguito a criticità del genere.

Categorie: Sicurezza