Mii de site-uri, ținta unui nou ransomware
Aproximativ 10.000 de baze de date ale unor site-uri sunt ținta unui atac ransomware. Atacatorii pretind recompense consistente pentru a oferi cheile de decriptare.
Bazele de date afectate sunt create cu aplicația MongoDB, conform cercetătorilor ce au analizat atacurile în prima săptămână a anului. Victor Gevers, cofondator al GDI Foundation, a descoperit 200 de astfel de baze de date, iar după doar o zi, John Matherly, fondator al motorului de căutare Shodan, a estimat că 2000 de baze de date sunt compromise. După alte câteva zile, estimările au fost crescute la 10.500 de baze de date afectate, după analiza lui Niall Merrigan, scrie playtech.ro.
Bazele de date MongoDB, configurate greșit, au mai avut probleme și în trecut, cel mai notabil caz fiind atunci când o breșă de securitate a expus datele personale a peste 13 milioane de utilizatori. Atunci când aceste atacuri au ieșit la iveală pentru prima dată, acestea erau efectuate cu ajutorul ransomware-ului Harak1r1. Atacatorul ștergea bazele de date și promitea că le va restaura, în schimbul unei plăți de 200$, în Bitcoin. Alți hackeri au început să se folosească de astfel de atacuri, în unele cazuri punând o recompensă peste o recompensă deja cerută.
După ștergerea informațiilor din mii de baze de date MongoDB accesibile public, grupările ransomware au început să atace și clusterele Elasticsearch. Elasticsearch este un motor de căutare popular pentru mediile companiilor. De obicei este folosit împreună cu analiza datelor și platforme de vizualizare, scrie csoonline.com.
Prima informație cu privire la un atac asupra Elasticsearch a apărut joi, când un utilizator a semnalat că toate informațiile de pe cluster au fost șterse și a găsit doar un mesaj de răscumpărare.
Niall Merrigan, cercetător în securitate care a monitorizat baza de date MongoDB în urmă cu două săptămâni, a scris într-o postare pe Twitter că peste 600 de clustere Elasticsearch au fost afectate. Acesta poate fi doar începutul deoarece numărul de configurări Elasticsearch accesibile prin intermediul internetului sunt în jur de 35.000. Numărul de baze de date MongoDB șterse a crescut de la câteva sute la câteva mii în câteva zile, numărul de victime ajungând la 35.000 în final.
Conform experților nu este necesară expunerea la internet a clusterelor Elasticsearch.
Dacă sunteți afectați de aceste atacuri, plătirea recompensei nu este recomandată deoarece atacatori s-ar putea să nu aibă informațiile. Experții care au ajutat victimele MongoDB au raportat că nu au găsit dovezi de extragere a informațiilor înainte de a fi șterse.
Atacurile ransomware asupra serverelor nu par să se oprească curând, mai ales că MongoDB și Elasticsearch nu sunt singurele sisteme de stocare de date care sunt de obicei neprotejate pe internet.
