Security Notes

KimcilWare: il nuovo ransomware attacca Magento

password

Gli esperti di cyber security del Malware HunterTeam hanno da poco scoperto un nuovo denominato KimcilWare, un malware progettato per attaccare i Web Server e, nello specifico, la piattaforma , una delle più utilizzate per sviluppare e-commerce.

Ecco quanto riportato in un post del blog Bleeping Computer a proposito di KimcilWare: “In questo momento non sappiamo come vengano compromessi i siti attaccati, ma alle vittime vengono criptati i file usando l’algoritmo di cifratura a blocchi Rijndael e viene chiesto un riscatto che va dai 140 ai 415 dollari, a seconda della variante di malware che infetta. Purtroppo, ad oggi non esistono soluzioni per decriptare i file gratuitamente”.

E’ abbastanza semplice riconoscere KimcilWare: un volta criptati, alla fine di ciascun file di Magento viene aggiunta l’estensione “.kimcilware”, che rende lo store online inaccessibile.

Sempre su Bleeping Computer si può leggere infatti che lo script “cifra tutti i dati del sito web e appende l’estensione .kimcilware a tutti i file. Inserisce, poi, un file di index.html che serve a far visualizzare il messaggio del ransomware alla vittima”.

Questo è un esempio di una cartella compromessa da KimcilWare

kimcilware-ransomware
(fonte: BleepingComputer)

Questo il messaggio che gli hacker lasciano alla vittima sulla homepage del sito tramite il file index.html:

magento-kimcilware-ransomware
(fonte: BleepingComputer)

Una variante di KimcilWare non sostituisce il file index.html ma, in ogni cartella del sito, lascia un file di testo nominato README_FOR_UNLOCK.txt che contiene le istruzioni per il pagamento del riscatto che, ormai pratica comune tra i criminali informatici, viene richiesto in Bitcoin.

La cattiva notizia è che risulta ancora sconosciuto il processo che porta all’infezione e non sappiamo quindi con certezza come avvenga l’attacco, né da dove provenga. Tuttavia, al momento, sembra che il numero di web server colpiti sia ancora limitato.

La prima segnalazione di un attacco KimcilWare è avvenuta lo scorso 3 Marzo su StackExchange dal proprietario di un e-commerce sviluppato con Magento (versione 1.9.1.0). Il webmaster ha fatto notare come su un server con più installazioni Magento, solo un sito sia stato compromesso.

Un secondo caso, poi, viene riportato qualche giorno dopo sul forum ufficiale di Magento, dal proprietario di un sito che aveva installato la versione 1.9.2.4. L’amministratore dell’e-commerce ipotizzava che la causa potesse essere una falla di sicurezza dell’estensione Helios Vimeo Video Gallery.

Infine, un altro ransomware con caratteristiche simili è stato scoperto dal ricercatore Jack (@Malwareforme). Questo secondo virus è stato battezzato MireWare e, dato molto interessante, per le comunicazioni tra la vittima e l’hacker usa lo stesso indirizzo email di KimcilWare, ovvero tuyuljhat@ hotmail.com. Jack nota come MireWare è una variante di Hidden Tear, un ransomware open source, pubblicato su Github dai ricercatori turchi di cybersecurity Utku Sen a scopo di studio. Hidden Tear fu sviluppato intenzionalmente con delle falle di sicurezza e, in effetti, sembra proprio che MireWare soffra di tali bug. Lawrence Abrams, ricercatore di BleepingComputer, analizzando il malware ha confermato che anche in questo caso la minaccia è mitigata dall’assenza di un certificato SSL valido per il suo Command & Control Server (il server che gestisce e istruisce il ransomwer sulle operazione da fare).

Per quanto riguarda KimcilWare, siamo ancora alle fasi iniziali e gli esperti non escludono una sua rapida evoluzione.

Consiglio finale: se amministrate un e-commerce sviluppato su piattaforma Magento aggiornate all’ultima versione del cms, utilizzate delle password forti per l’utenza di amministratore e fate frequenti backup. Probabilmente, in caso di attacco, potrebbero non bastare queste azioni per mettersi in sicurezza ma sono sicuramente delle buona pratiche alle quali ogni utente (o webmaster) dovrebbe attenersi per abitudine.

Felice Acierno

Felice Acierno

Esperto in comunicazione e web marketing, è attualmente Digital strategist presso Bit4ID, azienda leader nel settore dell’identity management e della sicurezza digitale. In passato, ha lavorato come digital marketing specialist in importanti aziende del settore radiofonico ed editoriale curandone la presenza online in termini di campagne pubblicitarie e contenuti.

Twitter LinkedIn 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This