Un ransomware per i server Zimbra

L’industria del malware è sempre pronta a colpire nuovi obiettivi sfruttando per un certo periodo l’effetto sorpresa. Dopo aver colpito le workstation degli utenti, in particolare zimbra_logoWindows, ma anche Mac e Linux, con una frequenza sempre maggiore, nuovi ransomware hanno iniziato a colpire i server che erogano servizi su internet.

Dopo il ransomware che infettava i siti in wordpress siamo di fronte ad una nuova importante minaccia, un ransomware che attacca i mailserver Zimbra.

Lawrence Abrams ha scoperto uno script malevolo in grado di crittografare i dati presenti nella directory /opt/zimbra/store/ ovvero la directory utilizzata nella configurazione standard per memorizzare i messaggi presenti nelle mailbox.

Il malware è scritto in Python e per poter portare al termine l’attacco ha necessità che siano installate sulla macchina vittima dell’attacco le librerie:

  • python-dev
  • pip install pycrypto

e deve poter essere eseguito con privilegi di root.

Se riesce ad essere eseguito, lo script effettua la crittografia dei file contenuti directory /opt/zimbra/store e nelle sue sottodirectory, aggiunge il suffisso .crypto ai messaggi crittografati.

Infine genera il file /root/how.txt contenente le istruzioni per il “riscatto” dei file, dopo aver effettuato il pagamento di 3 bitcoin.

Le chiavi utilizzate dalla crittografia, vengono generate sul sistema vittima, la chiave AES utilizzata per crittografare i dati, viene crittografata con l’algoritmo RSA a 2048 bit ed entrambe le chiavi vengono inviate con un messaggio di posta elettronica all’attaccante.

Per precludere questo tipo di attacco è sufficiente limitare l’accesso tramite SSH al server, tenere aggiornato il sistema operativo ed installare il minimo dei pacchetti necessari al funzionamento di Zimbra evitando di installare altri prodotti e servizi sullo stesso server.

Il malware è piuttosto primitivo nella sua forma ed ancora non costituisce una vera minaccia, è piuttosto facile difendersi, ma deve risuonare forte l’allarme, se intendi lavorare devi necessariamente proteggerti accuratamente.

I ransomware si stanno dimostrando un ottimo strumento, per i criminali informatici, per convertire gli attacchi informatici in denaro e nuove forme di attacco vengono quotidianamente implementate.

argonavislab

I tecnici Argonavis sono a tua disposizione per maggiori informazioni sulle minacce attuale ed aiutarti a proteggere le informazioni della tua azienda.

Richiedi Informazioni

23 Giugno 2016