Dettaglio News Dettaglio News

SSH TCP Attack - Sottratte credenziali su numerosi server italiani
04/03/2017
I ricercatori di MalwareMustDie! hanno individuato un gruppo di criminali che sta collezionando credenziali e numeri di carte di credito sottratti da numerosi siti sparsi in tutto il mondo abusando di una tecnica denominata SSH TCP forward, dopo aver guadagnato l'accesso tramite attacchi manuali o di forza bruta su dispositivi IoT e server web.



Si tratta presumibilmente una variante di un malware ELF noto, sostiene Odisseus, membro di MMD in contatto con il CERT-PA.

Gli aggressori, una volta sottratte le credenziali da un sito, li usano per sferrare attacchi su altri siti e servizi. L'analisi del malware che si occupa di compromettere i dispositivi con credenziali deboli è sotto osservazione dai ricercatori MalwareMustDie! già da mesi e stando alle evidenze riportate sul sito MMD le forme di attacco utilizzate per compromettere i siti non sono del tutto nuove.

Sono numerosi i server compromessi in tutto il mondo, di cui un numero consistente situati in italia. Molti dei siti riguardano CMS obsoleti tra cui versioni e plugin non patchati di Wordpress.

La lista con gli IoC e le tecniche di mitigazione verranno descritte dettagliatamente nell'apposito bollettino che verrà emesso lunedì 6 marzo. (Aggiornamento: Bollettino disponibile nell'apposita sezione previa registrazione)

L'argomento è stato ripreso per primo da Securityaffairs. Ulteriori informazioni sono disponibili sul sito MalwareMustDie!

Si consiglia inoltre di leggere il documento "Security Awareness – Footprinting, Scanning & Enumaration nell’era di IoT (Internet of Things)" emesso in data 11/08/2016 dal CERT-PA e relativo alle tecniche di “Information Gathering” che precedono un attacco informatico, con particolare riferimento alla fasi di “Footprinting”, “Scanning” e “Enumeration”.