Sommario
I ricercatori dell’azienda coreana di anti-malware AhnLab stanno mettendo in guardia da un attacco old-school che stanno vedendo molto di questi giorni. Gli cybercriminali indovinano l’accesso ai server Linux shell e li usano come punti di partenza per ulteriori attacchi, spesso contro terze parti innocenti.
Il metodo di attacco
Gli attaccanti utilizzano il trucco non molto segreto e non complicato di trovare server Linux shell che accettano connessioni SSH (Secure Shell) su internet, e poi semplicemente indovinano le combinazioni comuni di username/password nella speranza che almeno un utente abbia un account scarsamente protetto. I server SSH ben protetti non permetteranno agli utenti di accedere solo con password, ovviamente, insistendo su qualche tipo di sicurezza di accesso alternativa o aggiuntiva basata su coppie di chiavi crittografiche o codici 2FA.
Le conseguenze dell’attacco
Gli attaccanti monitorati in questi casi sembrano favorire uno o più di tre diversi effetti successivi, ovvero: installare uno strumento di attacco DDoS noto come Tsunami; installare un toolkit di cryptomining chiamato XMRig; installare un programma zombie chiamato PerlBot o ShellBot. Questi malware permettono agli intrusi di oggi di emettere ulteriori comandi ai tuoi server compromessi quando vogliono, compreso l’installazione di ulteriori malware, spesso per conto di altri criminali che pagano una “tassa di accesso” per eseguire codice non autorizzato di loro scelta sui tuoi computer.
Come proteggersi?
Per proteggere i tuoi server Linux, è importante non permettere accessi SSH solo con password. Puoi passare all’autenticazione con chiave pubblica-privata invece delle password, o oltre alle password regolari sempre uguali (una forma semplice ma efficace di 2FA). È inoltre importante rivedere frequentemente le chiavi pubbliche su cui si basa il tuo server SSH per gli accessi automatici. Infine, utilizza strumenti XDR per tenere d’occhio le attività che non ti aspetteresti. Anche se non rilevi direttamente file di malware impiantati come Tsunami o XMRig, il comportamento tipico di queste minacce cybernetiche è spesso facile da individuare se sai cosa cercare.
