Gli hacker dietro il malware Gootkit hanno dimenticato di proteggere il loro database con una password

Gootkit Gang Fail to Protect Their Database

Alcune persone hanno problemi a capire quanto danno può causare un operazione di criminalità informatica. Catalin Cimpanu di ZDNet e Bob Diachenko di SecurityDiscovery.com hanno trascorso un po di tempo a esaminare da vicino un malware che ruba informazioni con il nome di Gootkit, e si spera che le loro scoperte ti aiuteranno a capire meglio quanto sia grande la scala.

Cimpanu ha detto che rispetto ad altri trojan come Emotet e TrickBot , operazione di Gootkit è "da nessuna parte vicino" così grande. Tuttavia, un paio di paragrafi dopo, ha affermato che operazione relativamente piccola ha recentemente portato al furto di almeno 15 mila carte di credito. Diachenko aveva alcune figure ancora più terrificanti che dimostrano che anche i nomi più piccoli del settore sono in grado di causare molti danni. Ma come hanno fatto Cimpanu e Diachenko a elaborare queste statistiche?

Anche gli hacker non riescono a proteggere i loro database a volte

Quelli di voi che sono attivamente interessati alla sicurezza delle informazioni hanno probabilmente sentito il nome Bob Diachenko in passato. È un ricercatore di sicurezza che ha aiutato a scoprire dozzine di incidenti in cui gigabyte su gigabyte di dati sensibili sono stati lasciati su database non configurati correttamente ed esposti a Internet. Nella maggior parte dei casi, Diachenko cerca di mettersi in contatto con i proprietari dei server con perdite e aiuta a proteggere le informazioni. Comprensibilmente, quando ha trovato i dati rubati dagli operatori di Gootkit, non aveva troppa fretta di informarli del loro errore. Invece, ha chiamato Catalin Cimpanu e ha chiesto aiuto per analisi della perdita.

Il trojan stava inviando tutti i dati che stava rubando a un database MongoDB che era facilmente individuabile con aiuto dei motori di ricerca IoT. Non è chiaro se esposizione è avvenuta a causa di un errata configurazione del firewall o perché gli hacker avevano dimenticato di proteggere con password il loro server, ma il fatto era che i dati erano accessibili a chiunque sapesse dove cercare. Come abbiamo già detto, ce era parecchio.

Gootkit ruba e quindi perde informazioni estremamente sensibili

Gootkit ha iniziato la sua vita nel 2014 come umile trojan bancario. Dopo infezione, controlla il comportamento di navigazione della vittima e prende vita quando utente tenta di accedere al sito Web di banking online. A poco a poco, tuttavia, Gootkit si è evoluto e attenzione si è spostata dalle credenziali bancarie a un ambito di informazioni molto più ampio.

In questo momento, può esfiltrare di tutto, dai cookie e dalle cronologie di navigazione alle e-mail, credenziali del sistema operativo e password per ogni account immaginabile. Gootkit prende anche schermate regolari e registra ogni bit di informazione che gli utenti inseriscono in moduli online, il che è il modo in cui è riuscito a rubare tutti quei dettagli della carta di credito.

Il ricercatore afferma che oltre alle 15 mila carte di credito, i database contenevano anche circa 2,2 milioni di password, oltre 750 mila nomi utente e oltre 1,4 milioni di account e-mail. Non male per un operazione di malware su piccola scala, ma purtroppo i dati trapelati non sono finiti qui. Secondo il rapporto di ZDNet, erano anche credenziali archiviate per cose come agenzie governative bulgare e scambi di criptovaluta che potevano portare al esposizione di informazioni ancora più sensibili.

Gli hacker sono stati rapidi nel proteggere il database

Lo scoppio di server mal configurati che perdono dati si sta trasformando in un epidemia. Le organizzazioni legittime lasciano quotidianamente database non protetti ed è chiaro che i criminali informatici non sono immuni dal farlo. Quando sono coinvolte aziende reali, entrare in contatto con le persone responsabili e aiutarle a correggere la perdita è spesso più difficile di quanto sembri. Al contrario, gli operatori di Gootkit sembrano essere molto più disposti a reagire.

Il 10 luglio, appena cinque giorni dopo che Diachenko ha visto per la prima volta il database che perde, gli hacker lo hanno rimosso. Non è chiaro se hanno agito perché hanno visto che Diachenko e Cimpanu stavano guardando i dati. Inoltre non abbiamo idea se qualcun altro è riuscito a vedere le informazioni. Quello che sappiamo è che prima che il database venisse chiuso, Diachenko è riuscito a condividere i dati con le forze del ordine. Speriamo che aiuti la polizia a raggiungere la banda di Gootkit.

September 19, 2019

Lascia un Commento

IMPORTANTE! Per poter procedere, è necessario risolvere la seguente semplice matematica.
Please leave these two fields as is:
Che cos'è 4 + 10?