Malware buca le password deboli in PostgreSQL per il cryptojacking

Fino a 800.000 database connessi a Internet potrebbero essere vulnerabili ad un malware di crypto-mining in grado di utilizzare la loro capacità di calcolo.

Notizie

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Di recente è stato individuato un nuovo malware che punta ai database con lo scopo di installare un software per il mining di criptovalute. Denominato PG_MEM, il malware potrebbe potenzialmente colpire uno qualsiasi degli oltre 800.000 database gestiti da PostgreSQL se dotati di password deboli.
Secondo la società di cybersecurity cloud-native Aqua, PG_MEM viene installato dopo che un attacco di brute force rileva una password debole su un database gestito da PostgreSQL. PostgreSQL è un popolare sistema di gestione di database relazionali a oggetti utilizzato dai database provvisti di connettività a Internet. Esistono oltre 800.000 database di questo tipo, di cui quasi 300.000 negli Stati Uniti e oltre 100.000 in Polonia.

Malware invia capacità di calcolo inutilizzate ad un mining pool

Una volta ottenuto l'accesso ad un database, l'operatore malevolo crea un nuovo utente con capacità di accesso e privilegi elevati. Procede al download di due file dal suo server e riesce persino a coprire le proprie tracce ed a bloccare l'accesso ad altri utenti malintenzionati desiderosi di sfruttare la capacità di calcolo del database. Ciò potrebbe accadere spesso:

“Questa campagna sfrutta i database Postgres connessi a Internet con password deboli. Molte organizzazioni collegano i loro database a Internet con password deboli derivanti da una configurazione errata e dalla mancanza di controlli di identità adeguati. Non è un problema raro e molte grandi organizzazioni soffrono di tali difficoltà”.

Il malware, una volta operativo, si connette ad un mining pool e utilizza le risorse di calcolo dell'host, insieme a quelle di altri miner, per aumentare le possibilità di estrarre un nuovo blocco.

Flusso di attacco del PG_MEM. Fonte: Aqua Security

Un problema in aumento, ma non solo

L'impiego di malware per minare criptovalute è noto come cryptojacking. Il malware per il cryptojacking può essere installato anche sui personal computer. Il fenomeno sta diventando sempre più frequente. Cointelegraph ha rilevato come nella prima metà del 2023 gli attacchi di crypto-malware siano aumentati del 400% su base annua.

Fonte: Aqua Security

La capacità inutilizzata può essere sfruttata da utenti autorizzati per il mining o per altri usi. Il fornitore di infrastrutture cloud decentralizzate Aethir, ad esempio, gestisce una rete di infrastrutture fisiche decentralizzate (DePIN) per GPU-as-a-service, che si rifornisce di calcolo da data center di livello 3 e 4 con lo scopo di fornire un servizio di calcolo economico e scalabile ai propri clienti.

Traduzione a cura di Walter Rizzo

Aggiungi reaction

Notizie correlate

https://it.cointelegraph.com/news/pg-mem-malware-targets-postgresql-databases-crypto-mining