RansomWeb, attacchi ai database ed ai backup dei server
Una nuova tipologia di attacchi si presenta sul web, resi noti dall’azienda di consulenza informatica High-Tech Bridge. L’azienda in merito ha diffuso per l’appunto alcune informazioni riguardanti un’inedita tipologia di attacchi informatici che adopera, tuttavia, gli stessi strumenti visti in azione con altre tipologie di attacchi, per approfondire leggete questo articolo.
Si tratta di algoritmi crittografici, e a tal proposito è stato ideato per l’occasione il termine “RansomWeb”.
L’azienda High Tech riporta un caso in particolare in cui è stata sfruttata una password FTP compromessa, che mette in risalto come gli hacker riescano ad introdursi nei server, modificando poi le impostazioni che regolano le procedure di crittografia del database. La nuova chiave di cifratura viene infine salvata in un server HTTPS esterno, procedura che ha una buona probabilità di passare inosservata agli admin.
Per fare ancora più chiarezza, l’azienda High Tech prosegue nella sua spiegazione, sottolineando come i malintenzionati scrutano per un po di tempo le procedure di creazione e sostituzione dei backup attendendo la sovrascrizione di questi ultimi con le versioni più recenti del database:“il sito è stato compromesso circa sei mesi fa e diversi script del server sono stati modificati di proposito in modo che i dati fossero crittografati prima dell’inserimento nel database e decriptati una volta estrapolati da quest’ultimo. […] Il giorno prestabilito gli hacker hanno rimosso la chiave di cifratura dal server remoto. I database sono divenuti quindi inutilizzabili, il sito è andato offline ed i [malintenzionati] hanno richiesto [una cospicua somma di denaro in cambio della chiave di decriptazione]”.
Nel server dell’azienda presa di mira sono state identificate due backdoor phpBB, che son passate inosservate dal sistemi di protezione antivirus, ed un patcher del file config.php che ha consentito il trasferimento della chiave di cifratura sul server remoto.
Vincenzo Abate