“RansomWeb”, gli attacchi che colpiscono database e backup

Gli attacchi "ransomWeb" colpiscono i database ed i backup dei server applicando algoritmi di crittografia che rendono inutilizzabili i file

L’azienda di consulenza per la sicurezza informatica High-Tech Bridge ha diffuso negli scorsi giorni alcune informazioni riguardanti un’inedita tipologia di attacchi informatici che adopera, tuttavia, gli stessi strumenti visti in azione con i “ransomware” Windows Cryptolocker e CTB Locker, ovvero gli algoritmi crittografici. A tal proposito è stato ideato per l’occasione il termine “ransomWeb”.

Crittografia adoperata negli attacchi "ransomWeb"Una volta che gli hacker si sono introdotti nel server, nel caso riportato da High Tech è stata sfruttata una password FTP compromessa, avviene la modifica delle impostazioni che regolano le procedure di crittografia del database: la nuova chiave di cifratura viene infine salvata in un server HTTPS esterno, procedura che ha una buona probabilità di passare inosservata agli admin.

A questo punto, prosegue nella spiegazione High-Tech Bridge, i malintenzionati “osservano” con pazienza anche diversi mesi (sei nel caso preso in considerazione) le procedure di creazione e sostituzione dei backup attendendo la sovrascrizione di questi ultimi con le versioni più recenti del database :“il sito è stato compromesso circa sei mesi fa e diversi script del server sono stati modificati di proposito in modo che i dati fossero crittografati prima dell’inserimento nel database e decriptati una volta estrapolati da quest’ultimo. […] Il giorno prestabilito gli hacker hanno rimosso la chiave di cifratura dal server remoto. I database sono divenuti quindi inutilizzabili, il sito è andato offline ed i [malintenzionati] hanno richiesto [una cospicua somma di denaro in cambio della chiave di decriptazione]”.

Nel server dell’azienda presa di mira sono state identificate due backdoor phpBB – passate totalmente inosservate agli occhi dei sistemi di protezione antivirus – ed un patcher del file config.php che ha consentito  il trasferimento della chiave di cifratura sul server remoto.