Infos

Plusieurs milliers de serveurs Elasticsearch piratés en vue d’héberger un malware pour terminal de PDV

D’après les résultats d’une analyse réalisée par Kromtech Security Center, des milliers de serveurs Elasticsearch non sécurisés hébergent un malware pour terminal PDV. Au total, les chercheurs ont identifié 15 000 serveurs Elasticsearch non sécurisés, dont 27 % (4 000) infectés par les malwares pour terminal de PDV Alina et JackPoS.

« En raison de l’absence d’authentification sur certains serveurs Elasticsearch, les attaquants ont bénéficié d’un accès administrateur sur les instances exposées » écrivait Bob Diachenko, Directeur de communications de Kromtech, dans un billet consacré à l’analyse et publié mardi sur le blog.

Les pirates ont attaqué ces serveurs non sécurisés afin de les utiliser dans le cadre d’un large éventail d’activités illégales comme le vol ou la destruction des données hébergées ou l’utilisation de serveurs pour masquer les serveurs de commande de types de malwares pour terminal de PDV.

Kromtech a déclaré que 99 pour cent des serveurs ElasticSearch compromis étaient hébergés sur la plateforme Amazon Web Services. « Chaque serveur ES infecté a été ajouté à un réseau de zombies de terminaux de PDV avec fonctions de centre de commandes pour des clients malware de terminal de PDV » écrit Bob Diachenko.

Parmi les serveurs qui hébergeaient le malware, certains ont participé aux campagnes sur les terminaux de PDV pour récolter, chiffrer et transférer les données de cartes de crédit volées sur les terminaux de PDV, dans la mémoire RAM ou sur des ordinateurs Windows infectés.

Alina et JackPoS, deux malwares pour terminal de PDV qui tentent de récupérer les données de carte de crédit dans la mémoire des ordinateurs, ont été détectés sur les serveurs.

D’après une analyse du malware pour terminal de PDV publiée par Arbor Networks en 2014, le développement du malware Alina remonte à mars 2012,

Kromtech a annoncé qu’elle avait détecté de nouveaux échantillons des types de malware Alina et JackPoS et que les taux de détection à l’aide de la majorité des moteurs antivirus les plus répandus avaient été faibles.

« Même pour les serveurs de commande relativement anciens qui hébergent des sites, il n’existe pas assez d’informations et VirusTotal URL Scanner ne parvient pas à détecter la majorité » écrit le chercheur.

Les problèmes de sécurité au niveau d’ElasticSearch, d’Amazon Web Services et des bases de données MongoDB ne datent pas d’hier. Au cours des 12 derniers mois, il y a eu de nombreux cas de serveurs dans le Cloud dont les données ont été détruites, retenues en otage ou divulguées.

Au mois de janvier, 360 instances d’d’ElasticSearch avaient été effacées d’après Niall Merrigan, chercheur en sécurité. À l’époque,  John Matherly, fondateur de Shodan, estimait à 35 000 le nombre de serveurs AWS ElasticSearch mal configurés et accessibles via Internet.

De la même manière, au cours de ce même mois de janvier, Niall Merrigan signalait une augmentation sensible du nombre de piratages de bases de données MongoDB qui étaient ensuite prises en otage : il avait atteint 28 000.

Des seaux de stockage AWS S3 mal configurés avaient été également pointés du doigt pour expliquer une épidémie de fuites sur des serveurs.

Au mois de juillet, des experts en sécurité ont identifié de 6 à 14 millions de clients Verizon qui avaient été laissés sur un serveur non protégé qui appartenait à un partenaire de la société de télécommunication. La semaine avant, le géant du catch World Wide Entertainment avait exposé par accident les données personnelles de trois millions de fans. Plus récemment, le 5 septembre, 4 millions d’enregistrements de Time Warner Cable sans protection ont été découverts sur un AWS S4 mal configuré.

Source : Threatpost

Plusieurs milliers de serveurs Elasticsearch piratés en vue d’héberger un malware pour terminal de PDV

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception