Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Attacchi ai server ElasticSearch. Database “rapiti” dai pirati
I cyber criminali usano la stessa tecnica adottata nei giorni scorsi contro i server Mongo DB: i database vengono copiati, cancellati e sostituiti con la richiesta di riscatto.
Un errore di configurazione è più che sufficiente per aprire la porta ai pirati. Lo hanno imparato a loro spese nelle scorse settimane gli amministratori di server Mongo DB, vittime di un’ondata di attacchi. Lo stanno imparando quelli di ElasticSearch, che ora sembra essere finito nel mirino di gruppi che agiscono con lo stesso modus operandi.
ElasticSearch è un motore di ricerca open source utilizzato ampiamente da grandi aziende e società che offrono servizi Web (lo usa anche Netflix) e proposto come servizio anche da provider di servizi come Amazon.
Il problema, però, è che molti amministratori hanno la pessima abitudine di impostare il servizio in modo che sia esposto a Internet. Risultato: i server possono essere attaccati dai pirati che, secondo le ultime notizie, ne avrebbero violati già più di 600.
La strategia dei cyber-criminali è la stessa che abbiamo già visto nelle scorse settimane: una volta ottenuto l’accesso al server, eseguono una copia dei dati contenuti e poi li cancellano, lasciando una richiesta di riscatto in bitcoin.
Considerato che da una ricerca su Shodan risultano esserci ben 35.000 server ElasticSearch raggiungibili via Internet, è probabile che anche in questo caso si assisterà a un’escalation simile a quella verificatasi nei giorni scorsi nei confronti di Mongo DB.
Il motore di ricerca open source è usato da colossi del Web come Universal, SoundCloud e Wikipedia
Di solito la cifra non è molto elevata (circa 500 dollari) ma è bene considerare che i legittimi proprietari, anche se dovessero pagare la somma richiesta, non hanno la certezza di recuperare i loro dati.
Oltre all’incertezza è legata alla “affidabilità” dei pirati informatici, c’è infatti il problema che il fenomeno è in costante crescita e che i pirati sfruttano sistemi automatizzati, che “macinano” centinaia di attacchi all’ora.
Nei giorni scorsi, quando sono stati presi di mira i server Mongo DB sono stati segnalati casi in cui lo stesso server è stato attaccato più volte in sequenza, con il risultato che gli amministratori hanno pagato un riscatto a un gruppo di hacker che… non avevano i dati originali.
Quando un nuovo gruppo colpisce un server già compromesso, infatti, in memoria trova soltanto la richiesta di riscatto del primo hacker e lo sostituisce con il suo. Gli amministratori, quindi, anche una volta pagato il riscatto rischiano di vedersi restituire solo un’altra richiesta di riscatto.
A peggiorare la situazione c’è il fatto che su Internet è comparso (in vendita) lo script usato per attaccare i server Mongo DB. A rendere disponibile lo strumento di hacking (prezzo 200 dollari) è il gruppo Kraken, che secondo i ricercatori avrebbe colpito 16.000 server in due giorni.
Non è escluso che lo script possa essere stato adattato per colpire ElasticSearch, mettendo così nelle mani dei pirati una sorta di “arma di distruzione di massa” che potrebbe provocare enormi danni.
Agli amministratori di sistema che utilizzano il motore di ricerca non resta che prendere tutte le precauzioni possibili per mettere in sicurezza i loro server. Alcuni suggerimenti sono stati messi nero su bianco da Itamar Syn-Hershko in un post sul suo blog.
Condividi l'articolo
Gli Shadow Brokers si ritirano. Su Internet l’addio
Tornano gli Shadow Brokers: in vendita altri tool dell'NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
