L’evoluzione dei criptovirus continua: dopo i computer, gli Smartphone e le Smart TV anche i database sono diventati un target dei ransomware. Non è una novità, in realtà, i database MongoDB avevano subito pesanti attacchi da ransomware nei mesi scorsi, oggi però è il turno dei database MySQL.
Gli attacchi sono iniziati poco dopo mezzanotte del 12 febbraio 2017 e dalle segnalazioni sembrano provenire dall’indirizzo IP 109.236.88.20, intestato alla società olandese worldstream.nl. Il server è stato probabilmente bucato dal delinquente e utilizzato per sferrare gli attacchi ai database MySQL.
Dall’analisi del ransomware che attacca i database MySQL eseguita da Guidance apprendiamo che l’attacco avviene inizialmente tramite un brute force della password di root, che permette al delinquente di entrare nel sistema, visualizzare i database esistenti e creare una nuova tabella chiamata “WARNING” o “PLEASE_READ” dove inserisce il suo indirizzo email e le istruzioni su come eseguire il pagamento del riscatto in bitcoin. In seguito, il ransomware cancella i database presenti sul server MySQL e non è detto che se ne sia davvero fatto un backup, questo significa che anche pagando il riscatto non vi è certezza che il delinquente restituisca alle vittime il maltolto.
Sono stati identificati due attacchi distinti, in uno la tabella MySQL creata dal ransomware contiene i dati seguenti:
INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)
Nel secondo attacco, questi sono i dati inseriti nel database dal ransomware che attacca i server MySQL:
INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)
Gli indirizzi bitcoin sui quali viene richiesto il pagamento del riscatto, quindi, sono i seguenti:
- 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9
- 1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY
Come si evince osservando il balance dei due indirizzi, i delinquenti non hanno in cassato molto, sul primo abbiamo ad oggi circa mezzo bitcoin e sul secondo neanche un terzo di bitcoin, in tutto quindi – al cambio attuale – neanche un migliaio di euro di riscatti pagati.
Dalle dinamiche degli attacchi non risulta evidenza di dump dei database e delle tabelle MySQL, quindi se siete stati infettati ricordate che anche pagando il riscatto – a meno di richiedere al delinquente evidenza della copia dei dati – non riceverete nulla.
Come possiamo difenderci e proteggere i nostri database MySQL da ransomware di questo tipo e, più in generale, da attacchi provenienti dalla rete? Innanzitutto è importante limitare l’accesso dalla rete soltanto ai servizi che lo richiedono espressamente, chiudendo tutti gli altri tramite regole sul firewall o impostazione del demone dei servizi con listening soltanto su localhost.
E’ anche possibile impostare dei servizi di monitoraggio delle richieste di accesso che, a seguito di un certo numero di tentativi falliti, bloccano l’accesso dall’indirizzo IP dal quale sono provenute le connessioni, come ad esempio Fail2Ban, che può essere impostato anche a protezione di servizi MySQL.
Essenziale infine utilizzare password robuste, dato che spesso questi attacchi vengono eseguiti tramite brute-force, cioè tentativi ripetuti d’inserimento password prese dalle liste di password più comuni fino a quando non viene trovata quella corretta. Il consiglio è sempre quello d’impostare password lunghe (otto caratteri ormai non sono più sufficienti) utilizzare caratteri alfanumerici (lettere maiuscole, minuscole e numeri) e simboli, eventualmente scaricando database di password pubblici per verificare che quella scelta non sia in uno di quelli. Esistono anche servizi web per la verifica della robustezza delle proprie password ma sconsigliamo di utilizzarli, dato che significherebbe comunicare la propria password a enti terzi.
Ultimo, ma probabilmente primo dei consigli, quello di fare backup periodici di tutto il sistema e in particolare dei database MySQL: esistono tool anche gratuiti o la possibilità di eseguire script per eseguire il dump delle tabelle su file importabili poi in caso di crash, perdita di dati o attacco da ransomware. Ovviamente il backup deve essere tenuto separato dal database e, se possibile, offline o su postazioni alle quali non è possibile accedere dal sistema in quanto ultimamente gli attacchi hanno coinvolto anche i backup stessi.
La fonte dell’articolo: Attacco ransomware ai database MySQL: come proteggersi? è: Ransomware Blog.