Aggiornamenti recenti Luglio 10th, 2025 2:02 PM
Giu 05, 2018 Marco Schiaffino In evidenza, Intrusione, Malware, News, RSS 1
Leggendo quanto scrive il ricercatore di NewSky Security Ankit Anubhav sul blog della società di sicurezza, la prima cosa che viene in mente è un vecchio detto che recita: “il figlio del calzolaio va in giro con le scarpe rotte”.
Anubhav racconta di una “incursione” all’interno di Owari, una delle più attive botnet IoT sulla piazza, che il ricercatore è riuscito a infiltrare grazie al fatto che il pirata informatico che la controllava aveva impostato delle credenziali di accesso ridicole.
I ricercatori di NewSky Security, spiega Anubhav, hanno individuato il server quando hanno registrato alcuni tentativi di accesso a delle honeypot (i dispositivi usati come “esche” per attirare gli attacchi dei cyber-criminali – ndr) provenienti da uno specifico indirizzo IP.
Quando hanno cominciato a investigare., Anubhav e i suoi colleghi si sono accorti che il server in questione aveva una porta aperta e, per la precisione, si trattava della porta 3306, utilizzata per impostazione predefinita dai database MySQL, spesso usati nei server Command and Control per conservare informazioni sui dispositivi compromessi.
A quel punto i ricercatori hanno deciso di provare ad accedere al database e, con loro grande sorpresa, non ci è voluto molto. L’amministratore aveva infatti utilizzato username: root, password: root. Una delle abbinate solitamente prese come esempio di credenziali da non usare.
La sciatteria dell’amministratore della botnet, però, non è un caso isolato. Spulciando nel database, infatti, i ricercatori di NewSky Security hanno trovato l’elenco dei “clienti” che utilizzavano la botnet per portare attacchi DDoS su commissione.
Password brevi, scontate e facili da indovinare anche senza usare script per il brute forcing o attacchi a dizionario. Se questo è il livello di preparazione dei cyber-criminali, possiamo stare tutti un po’ più tranquilli.
Anche qui le credenziali non brillano per originalità o sicurezza. Anzi: sono decisamente inadeguate. Tanto più se si considera che sono state usate per accedere a un servizio illegale.
Il paradosso è che il boom di malware che prendono di mira i dispositivi della “Internet of Things” ha avuto inizio con Mirai, un worm che per diffondersi faceva leva proprio sul fatto che molti device utilizzavano le credenziali predefinite o troppo “deboli”.
Una tecnica che usa anche Owari, ma che evidentemente non ha insegnato nulla né al pirata informatico che ha diffuso il malware, né ai suoi clienti.
Nov 28, 2024 0
Ott 31, 2024 0
Ago 29, 2024 0
Lug 09, 2024 0
Lug 10, 2025 0
Lug 09, 2025 0
Lug 08, 2025 0
Lug 07, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...Lug 09, 2025 0
Un gruppo di cybercriminali ha rubato circa 140 milioni...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...Lug 07, 2025 0
Nella settimana appena trascorsa, il CERT-AGID ha...
One thought on “Anche i pirati usano credenziali vulnerabili”