Ransomware nově útočí i na databáze

24. leden 2017

Ransomware již není jen záležitostí zašifrovaných souborů. V posledních dnech proběhly hned dvě vlny útoků na kompletní databáze. Jako první to odnesly servery MongoDB a před několika dny i servery ElasticSearch.

ElasticSearch je databáze a vyhledávač postavený na Javě, který používají hlavně velké webové služby a podnikové sítě k indexování velkého množství dat.

Útočníci se dostali k nezabezpečeným databázím ElasticSearch díky tomu, že byly přístupné z internetu. To je podle bezpečnostních expertů hrubá chyba. Po získání přístupu k databázi útočníci všechny existující indexy s daty znepřístupnili a zároveň vytvořili jediný přístupný index s názvem „warning“. Pachatelé v něm zanechali zprávu s požadovanou částkou výkupného a adresou své bitcoinové peněženky.

Často kritizovaným problémem je samotný byznys model ElasticSearch. ElasticSearch engine jako takový je sice zdarma, ale jeho autentifikační modul je poměrně nákladnou záležitostí. Právě kvůli vysoké ceně mnoho uživatelů tento modul nevyužívá, a nechrání tak své databáze stoprocentně.

Ransomware je malware, který oběti zašifruje velké množství dat, za něž útočník následně požaduje výkupné. Ačkoliv se v tomto případě o typický ransomwarový útok nejedná, nelze slůvko „ransom“ vynechat, neboť výkupné je to, oč podobným vyděračům jde. Experti však v těchto případech nedoporučují výkupné platit, jelikož není zřejmé, zda útočníci zálohu databáze skutečně provedli a smazaná data mají stále k dispozici.

V době psaní článku měl útok již přes 4000 obětí a toto číslo stoupá každou hodinou. Teoreticky napadnutelných je až 35 000 serverů. Podle našich odhadů lze počet napadených českých uživatelů odhadnout na jednotky až desítky. Důvodem tak nízkého počtu je, že v zahraničí je hosting této služby cenově přijatelnější. Předchozí útok na MongoDB překonal hranici 30 000 napadených serverů poměrně snadno a podobný scénář lze předpokládat i u tohoto útoku.

Společnost Fidelis Cybersecurity, jejíž jsme partnerem pro Českou a Slovenskou republiku, zaznamenala útok na některé HDFS (Hadoop Distributed File System) systémy. Útočníci se opět zaměřili na nezabezpečené databáze bez odpovídající autentifikace. Některé z HDFS systémů se staly obětí „vandalismu“, kdy útočník neměl zájem o výkupné, ale rovnou všechna data smazal. Je tedy třeba mít se na pozoru a své databáze a servery důkladně zabezpečit.

Více informací na webu threatgeek a Silicon UK.

Martin Půlpán,
jednatel net.pointers s.r.o.

Vyšlo 24. 1. 2017 na www.pulpan.cz