Buongiorno, (that's why I love Lista Nexa!)
grazie Antonio per i link, davvero preziosi, specialmente il Gist! "Marco A. Calamari" <marcoc_maill...@marcoc.it> writes: > On mer, 2023-02-08 at 17:54 +0100, Antonio wrote: [...] >> Ma alla fine, un dubbio rimane. Quanti saranno state le /vittime/ >> dell'attacco? >> Eccoli qua: 3805 indirizzi IP di cui 22 italiani [5]. > > Vabbe, avranno usato Shodan per contare gli IP con la porta di default del > servizio aperta. Non credo abbiano usato solo quel tipo di scansione perché la tabella in CSV allegata al gist [5] indica anche (Bitcoin wallet) "address", che non è un'informazione che si può ricavare scansionando gli IP: --8<---------------cut here---------------start------------->8--- ip,address,city,country,country_code,port,dns_names,reverse_dns 78.46.39.83,1HTZ1dKiwWQKBHT3QaAkypPBngaK4z76PB,,Germany,DE,443,[],[esxi] 78.46.86.170,16oEskLDvAKHa7u6PASJUijCsRgjMFD3Ff,,Germany,DE,443,[lara.smart1.eu],[lara.smart1.eu] 78.46.72.169,1HjigJrc711d2rYy8PM9GHJua3pqUxUYT9,,Germany,DE,443,[static.169.72.46.78.clients.your-server.de],[static.169.72.46.78.clients.your-server.de] [...] --8<---------------cut here---------------end--------------->8--- (estratto da https://gist.githubusercontent.com/cablej/bdc2ee2c84915d0b68eec9d4d4747e19/raw/317e99d72c03c5d184882518336291382de39b38/esxi_victims.csv) Il Gist (pubblicato da Jack Cable [6] fondatore di Ransomwhere [7]) dice: «A list of ESXi victims Censys, published by Ransomwhere» Censys [8] è un servizio di map scanning globale che fornisce ai propri clienti servizi per consultare la "mappa di tutto su Internet": --8<---------------cut here---------------start------------->8--- The Leading Internet Intelligence Platform for Threat Hunting and Exposure Management. Censys empowers security teams with the most comprehensive, accurate, and up-to-date map of the internet to defend attack surfaces and hunt for threats. [...] Censys Search leads the industry in internet scanning capabilities to provide the largest, most comprehensive dataset of internet intelligence available. [...] The foundation of the Censys Platform is our data. Founded by the creators of ZMap, Censys’ proprietary map of the internet offers the most coverage, fastest discovery, and the deepest insights available. [...] Censys has the widest breadth and depth of internet scanning data available. We scan the top 137 ports and the top 1440 ports in the cloud on a daily basis, while refreshing all known services within a 24 hour time frame. [...] Censys provides a rich understanding of everything on the internet, enabling security teams to understand asset connections, current configurations, and discovered threat details. Additionally, security teams get access to the potential impacts of each risk and recommended steps for remediation. [...] Censys provides the most comprehensive and accurate relationship of things on the internet. Through our advanced attribution engine, seed data is exposed to show connected assets, which are then enriched with contextual data for even deeper visibility. --8<---------------cut here---------------end--------------->8--- Censys usa ZMap [9] come "motore", il software libero che ha letteralmente cambiato il modo di fare net-scanning: --8<---------------cut here---------------start------------->8--- ZMap is capable scanning the entire public IPv4 address space in under 45 minutes. With a 10gigE connection and PF_RING, ZMap can scan the IPv4 address space in under 5 minutes. --8<---------------cut here---------------end--------------->8--- (da https://github.com/zmap/zmap) Inoltre, Censys collabora con Stanford pubblicando due (degli attuali tre) dataset liberamente disponibili su "Stanford Internet Research Data Repository": https://scans.io/ Quindi Ransomwhere (via Jack Cable) ha usato i servizi Censys per estrarre la tabella Come hanno fatto a raccogliere i dati su questo ransomware è descritto in questo post di Censys (bingo! trovato l'articolo più interessante in assoluto in merito a questo attacco): https://censys.io/esxwhy-a-look-at-esxiargs-ransomware/ «ESXWhy: A Look at ESXiArgs Ransomware» --8<---------------cut here---------------start------------->8--- Executive Summary * A ransomware campaign targeting VMWare ESXi servers began in early Februrary, 2023. The ransomware, dubbed ESXiArgs, peaked in infections on February 3, with Censys observing 3,551 infected hosts. * Typically, ransomware takes hosts offline and leaves few artifacts visible to the public Internet. ESXiArgs ransomware, however, presents ransom notes to the Internet, making them visible to Censys’ passive scanners. * Bitcoin wallet addresses are posted on the ransom pages, allowing us to track payments associated with this ransomware. * France, US, Germany, Canada, and other countries have seen attacks, with many occurring in France, particularly against hosts on French cloud provider OVH. --8<---------------cut here---------------end--------------->8--- Quindi a quanto pare Censys ha dei "passive scanners" [9]... facendo scaping (lo scraping è passivo?!? :-D ) delle "ransom notes" pubblicate dagli attaccanti su Internet. In fondo all'articolo è pubblicato l'URL della query al database Censys: https://search.censys.io/search?resource=hosts&sort=RELEVANCE&per_page=25&virtual_hosts=EXCLUDE&q=services.http.response.body%3A+%22How+to+Restore+Your+Files%22+and+services.http.response.html_title%3A%22How+to+Restore+Your+Files%22&ct=1 Per facilità di lettura, il testo della query è: --8<---------------cut here---------------start------------->8--- services.http.response.body: "How to Restore Your Files" and services.http.response.html_title:"How to Restore Your Files" --8<---------------cut here---------------end--------------->8--- Adesso quella query restituisce 1,510 hosts, perché man mano le pagine con la richiesta di riscatto stanno sparendo ...sottolineo: non ho scritto che i server sono stati ripristinati (sono liberi da backdoors), ho scritto che le pagine con la richiesta di riscatto stanno pian piano sparendo, probabilmente perché sono state "applicate le patch" Riusciranno i nostri eroi a garantirsi che le proprie macchine con su VMware ESXi siano prive di backdoors? :-O > Ma a quanti server corrispondono, ed a quante macchine virtuali > corrispondono? Credo che ci sia una e una sola "ransom note" per server fisico (bare metal) con VMware ESXi compromesso... le macchine virtuali potrebbero essere anche centinaia per ciascun nodo fisico > Sennò come si può stimare l'entità del rischio/danno? Da fuori l'entità del rischio è **inestimabile**, quindi anche del danno: (giustamente) solo i proprietari dei server sanno cosa ci gira dentro > E sopratutto. Chi sono i 22 italiani ....? Nel CVS del Gist [5] ci sono tutti gli IP dei 22 (non ho contato) server italiani, pare che nessuno sia istituzionale per fortuna (continua...) Saluti, 380° [5] https://gist.github.com/cablej/bdc2ee2c84915d0b68eec9d4d4747e19 [6] https://en.wikipedia.org/wiki/Jack_Cable_(software_developer) [7] https://ransomwhe.re/ [8] https://censys.io/ [9] https://en.wikipedia.org/wiki/ZMap_(software) [10] un "passive scanner" non interagisce con il sistema monitorato inviando un pacchetto IP o richiedendo una risposta ad un pacchetto IP [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
signature.asc
Description: PGP signature
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
