L’industria del malware è sempre pronta a colpire nuovi obiettivi sfruttando per un certo periodo l’effetto sorpresa. Dopo aver colpito le workstation degli utenti, in particolare Windows, ma anche Mac e Linux, con una frequenza sempre maggiore, nuovi ransomware hanno iniziato a colpire i server che erogano servizi su internet.
Dopo il ransomware che infettava i siti in wordpress siamo di fronte ad una nuova importante minaccia, un ransomware che attacca i mailserver Zimbra.
Lawrence Abrams ha scoperto uno script malevolo in grado di crittografare i dati presenti nella directory /opt/zimbra/store/ ovvero la directory utilizzata nella configurazione standard per memorizzare i messaggi presenti nelle mailbox.
Il malware è scritto in Python e per poter portare al termine l’attacco ha necessità che siano installate sulla macchina vittima dell’attacco le librerie:
- python-dev
- pip install pycrypto
e deve poter essere eseguito con privilegi di root.
Se riesce ad essere eseguito, lo script effettua la crittografia dei file contenuti directory /opt/zimbra/store e nelle sue sottodirectory, aggiunge il suffisso .crypto ai messaggi crittografati.
Infine genera il file /root/how.txt contenente le istruzioni per il “riscatto” dei file, dopo aver effettuato il pagamento di 3 bitcoin.
Le chiavi utilizzate dalla crittografia, vengono generate sul sistema vittima, la chiave AES utilizzata per crittografare i dati, viene crittografata con l’algoritmo RSA a 2048 bit ed entrambe le chiavi vengono inviate con un messaggio di posta elettronica all’attaccante.
Per precludere questo tipo di attacco è sufficiente limitare l’accesso tramite SSH al server, tenere aggiornato il sistema operativo ed installare il minimo dei pacchetti necessari al funzionamento di Zimbra evitando di installare altri prodotti e servizi sullo stesso server.
Il malware è piuttosto primitivo nella sua forma ed ancora non costituisce una vera minaccia, è piuttosto facile difendersi, ma deve risuonare forte l’allarme, se intendi lavorare devi necessariamente proteggerti accuratamente.
I ransomware si stanno dimostrando un ottimo strumento, per i criminali informatici, per convertire gli attacchi informatici in denaro e nuove forme di attacco vengono quotidianamente implementate.
I tecnici Argonavis sono a tua disposizione per maggiori informazioni sulle minacce attuale ed aiutarti a proteggere le informazioni della tua azienda.