MALWARE

Pro-Ocean, il cryptojacker che prende di mira le infrastrutture cloud: come difendersi

Il malware ha funzionalità di tipo worm e rootkit che gli consentono di diffondersi da un server all’altro bypassando i sistemi di controllo: l’obiettivo è quello di sfruttare la potenza di calcolo delle infrastrutture cloud per estrarre criptomonete. Ecco i consigli per difendersi da Pro-Ocean

05 Feb 2021
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

È stata scoperta una versione modificata del malware di cryptojacking Pro-Ocean che mira a sfruttare la potenza di calcolo delle infrastrutture cloud per estrarre criptomonete. Inizialmente utilizzato per attacchi più semplici da parte del Rocke Group cinese, Pro-Ocean è stato arricchito con funzionalità di worm e rootkit che ne hanno accresciuto la pericolosità trasformandolo in una “minaccia evasiva” capace di eludere il suo rilevamento da parte degli agent utilizzati dai fornitori di servizi cloud.
Ascolta “Cloud e hybrid IT: la vera sfida della trasformazione è ora” su Spreaker.

Fisionomia del malware Pro-Ocean

Scoperta dai ricercatori della Unit 42 di Palo Alto Networks, la nuova variante del malware di cryptojacking Pro Ocean è ora composto da quattro componenti:

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
  1. un modulo di mining XMRig;
  2. un modulo Watchdog con due script Bash (per trovare e terminare processi che impegnano la CPU e per garantire l’esecuzione del malware);
  3. un modulo rootkit, che maschera la sua attività dannosa installando appunto un rootkit e molte altre utilità maligne;
  4. un modulo di infezione “worm”.

In particolare, i due script in codice Bash sono eseguiti per scopi diversi. Lo script “program__kill30” si ripete all’infinito per cercare i processi che utilizzano più del 30% della CPU (esclusi i suoi processi malware); se ne trova, li termina perché l’obiettivo del malware è utilizzare il 100% della CPU ed estrarre criptovaluta Monero in modo efficiente. Si noti che Pro-Ocean opera anche per eliminare malware concorrenti che potrebbero ostacolarlo nel mining; tra questi figurano Luoxk, BillGates, XMRig e Hashfish. Il secondo script Bash, “Program__daemonload” si ripete all’infinito e controlla che il malware sia in esecuzione. In caso contrario, lo esegue.

I software vulnerabili al malware Pro-Ocean

Il malware Pro-Ocean è formulato in Go, che è organizzato con un’architettura binaria x64, e generalmente prende di mira le tipiche app cloud come Apache ActiveMQ, Oracle Weblogic e Redis sfruttando vulnerabilità note. Nello specifico, la nuova variante di Pro-Ocean è progettata per attaccare:

  • i sistemi Apache ActiveMQ sfruttando la vulnerabilità CVE-2016-3088;
  • i sistemi Oracle WebLogic, sfruttando la vulnerabilità CVE-2017-10271;
  • i server Redis scegliendo le istanze non protette.

I ricercatori che hanno scoperto la nuova variante di Pro-Ocean ritengono che il gruppo Rocke effettuerà modifiche continue sul proprio malware affinché possa rappresentare un continuo e redditizio mezzo di attacco verso le infrastrutture cloud sempre più utilizzare dalle organizzazioni in tutto il mondo.

Una nuova evoluzione delle minacce cyber

Alessio Pennasilico, Information & Cyber Security Advisor per P4I, sottolinea come questa tecnica di attacco non stupisca dal punto di vista della strategia: “il cyber crime ha compreso da tempo quanto siano redditizie certe tipologie di attacco e ne sta diversificando i vettori, al fine di massimizzare i profitti”. Secondo Pennasilico, “se dai primi ransomware destinati ai PC windows siamo arrivati oggi a ransomware dedicati ad altre piattaforme e tecniche quali quella della double extorsion, passando per ransomware per piattaforme web, risulta chiaro come anche i cryptominer siano percepiti come interessanti e redditizi e siano quindi oggetto di ulteriore sviluppo sia dal punto di vista tecnologico sia in termini di target”. “Il cryptojacking come ulteriore tipo di malware ed i target a cui è indirizzato”, continua l’analista di P4I, “tracciano insieme un segmento aggiuntivo nella direzione del trend identificati dagli analisti negli anni passati e deve far riflettere ancora una volta, la necessità di difendere in modo efficace ogni tipo di asset informativo”. Fabrizio Cocco, esperto di sicurezza e autore del libro “Sicurezza delle reti grandi e distribuite”, evidenzia come “la crescente complessità di questo malware, finalizzato al mining, imponga due generi di riflessioni: il primo riguarda la crescita del valore e dell’utilizzo delle cryptomonete come stimolo al crescente interesse dei gruppi legati al cybercrime e come spinta a sviluppare tecnologie sempre più sofisticate; il secondo interessa la modularità del codice di questo di questo cryptominer che permette ai suoi utilizzatori di rimanere versatili e poter mutare velocemente la “combinazione d’attacco” per adattarsi agli scenari variabili e alle contromisure implementate dai Blue Team”. “La scelta del gruppo di puntare a vecchie vulnerabilità del 2016 e del 2017 o su istanze mal configurate di Redis”, secondo Cocco, “consente al gruppo attaccante di contenere i costi e tempi di sviluppo utilizzando exploit pubblici, stabili e ben testati; inoltre infettare server con questa tipologia di vulnerabilitàà ancora non sanate, significa probabilmente andare a colpire sistemi non manutenuti frequentemente e di conseguenza, con una più bassa probabilità di rilevare l’attività di mining che notoriamente risulta molto evidente a causa della sua avidità̀ di risorse hardware”.

Come difendersi da Pro-Ocean

Confermando la cattiva notizia per cui tutto ciò che è digitale, connesso e raggiungibile può essere attaccato, Alessio Pennasilico aggiunge che la notizia buona è che possiamo difenderlo. A tal proposito, Fabrizio Cocco spiega che, considerando la vetustà delle vulnerabilità sfruttate, è importante tenere i sistemi sempre aggiornati alle ultime patch rilasciate, configurare le piattaforme e le reti secondo le best practice del momento e soprattutto per le aziende, condurre test periodici di sicurezza che le aiutino ad evidenziare le proprie debolezze.

Attenti alle configurazioni di default dei database NoSQL

Ancora secondo Fabrizio Cocco è, inoltre, da considerare come negli ultimi periodi le minacce rivolte alle istanze dei database NoSQL siano sempre più frequenti. Questo è dovuto sicuramente al grande successo che questo tipo di database sta riscuotendo in relazione alla sempre più diffusa esigenza di flessibilità richiesta dei big data, ma anche alla carenza di sicurezza. Purtroppo, la configurazione di default dei DB NoSQL, spesso orientata esclusivamente all’accesso in reti locali fidate, risulta totalmente inadeguata nel caso di esposizione diretta del database verso Internet. Si prenda ad esempio proprio Redis, vittima di questa minaccia. Gli stessi sviluppatori dichiarano che Redis è progettato per essere accessibile da client attendibili all’interno di ambienti attendibili; in pratica, non viene distribuito con configurazione idonea per l’esposizione diretta verso Internet. La dimostrazione di quanto dichiarato è visibile nella configurazione di default con cui Redis viene rilasciato: facoltativo l’uso della password, dei protocolli cifrati e binding di default su tutte le interfacce di reti disponibili. A causa di queste impostazioni di base, spesso centinaia di amministratori di sistema espongono Redis su Internet con la configurazione di default e senza prendere le necessarie precauzioni. Il risultato è la “condivisione” involontaria dei dati al mondo Internet e l’apertura a centinaia di tipologie di attacco come quelle sfruttate dal nuovo cryptominer Pro-Ocean. Il team di Redis, dopo essersi accorto delle troppe “disattenzioni” degli amministratori dei sistemi che adottavano il suo DB NoSQL, ha parzialmente mitigato il problema: dalla versione 3.2.0 in poi, se avviato con la configurazione di default, entra in “protected mode” rispondendo solo alle query che arrivano dall’interfaccia di loopback. Tutto questo dimostra ancora una volta che seguire le best practice di sicurezza informatica e implementare un monitoraggio continuo e capillare, si conferma ancora uno dei capisaldi per garantire la cyber security nella propria azienda.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr