Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 10 su 25

Visualizzazione discussione

  1. 04-02-2015, 01:14 #18
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Un consiglio a tutti gli Admin di rete e comunque a tutte le persone che si occupano di sicurezza informatica aziendale mi sento di darlo.
    Da alcune settimane, oltre a questo tipo di infezione denominata Ransomware con tutte le sue varianti, si sta facendo strada un diverso tipo di infezione denominata RansomWeb che colpisce server aziendali.
    Al momento sono solo due le aziende ad essere state infettate grazie a questa nuova tecnica, ma sono sicuro che sono molte di più. Quello che sorprende non è la cifra chiesta per la decrittazione dei file, anche fino a 50.000 $, quanto la tecnica utilizzata.

    Una volta "bucato" il sito, vengono modificati alcuni file
    - “factory.php”
    - “functions_user.php”
    - “cp_activate.php”
    - “ucp_profile.php”
    - “config.php”
    due script (backdoor) vengono lasciati sul server, grazie ai quali qualsiasi forum phpBB può essere compromesso con alcuni semplici passaggi.
    Il primo è un file d'installazione che modifica il "config.php" e serve a crittare e decrittare i dati PHP "mcrypt_encrypt()". Questa funzione servirà a memorizzare, su un server remoto con accesso in HTTPS, la chiave di crittografia.
    Il secondo file d'installazione analizza tutti gli utenti phpBB, critta tutti gli account email e le password sostituendo il file phpBB con una copia infetta.
    Lo scenario descrive, sinteticamente, solo la parte relativa ai passaggi per "infettare i server", quella relativa al riscatto è molto più semplice.
    Le procedure d'infezione, come abbiamo visto, non comportano un "traffico anomalo" sui server quindi difficilmente verranno scoperte.
    A questo punto il virus-writer permetterà agli Admin di effettuare copie di backup, copie che saranno tutte inservibili perché crittate ovviamente, e solo dopo alcuni mesi verrà tolta dal server la chiave di crittazione, questo manderà in crash il sito.
    Il risultato:
    gli Admin non avranno copie di backup recenti per poter ripristinare il sito, quelle che avranno a loro disposizione saranno tutte inservibili. A questo punto al virus-writer non resterà che chiedere il riscatto.
    Ultima modifica di amvinfe; 04-02-2015 a 01:19
    ==
    Visita il mio blog SuspectFile.com
    ==
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.