Χάκερ έχουν στοχεύσει επισφαλείς βάσεις δεδομένων Elasticsearch και έχουν αντικαταστήσει 450 indexes με σημειώσεις λύτρων που ζητούν 620 $ για την επαναφορά του περιεχομένου, που αντιστοιχεί σε συνολική ζήτηση 279.000 $.
Δείτε επίσης: Hackers πωλούν 85.000 SQL βάσεις δεδομένων στο dark web
Οι απειλητικοί παράγοντες έθεσαν προθεσμία επτά ημερών για τις πληρωμές και απειλούν μετά την συγκεκριμένη προθεσμία να διπλασιάσουν τα ζητούμενα λύτρα. Αν περάσει άλλη μια εβδομάδα χωρίς να πληρωθούν, λένε ότι το θύμα θα έχανε τα indexes.
Όσοι πληρώσουν το ποσό υποτίθεται θα λάβουν ένα download link στο database dump τους που υποτίθεται ότι θα βοηθήσει στην γρήγορη επαναφορά της δομής δεδομένων στην αρχική της μορφή.
Αυτή η καμπάνια ανακαλύφθηκε από αναλυτές απειλών της Secureworks, οι οποίοι εντόπισαν περισσότερα από 450 μεμονωμένα αιτήματα για πληρωμή λύτρων.
Σύμφωνα με το Secureworks, οι απειλητικοί φορείς χρησιμοποιούν ένα αυτοματοποιημένο script για να αναλύσουν τις μη προστατευμένες βάσεις δεδομένων, να κάνουν wipe τα data τους και να προσθέσουν τα λύτρα, επομένως δεν φαίνεται να υπάρχει κανένα χειροκίνητο engagement σε αυτήν τη λειτουργία.
Συνέπειες της εκστρατείας
Αυτή η καμπάνια δεν είναι νέα και έχουμε δει παρόμοιες ευκαιριακές επιθέσεις πολλές φορές στο παρελθόν, καθώς και εναντίον άλλων συστημάτων διαχείρισης βάσεων δεδομένων.
Η επαναφορά του περιεχομένου της βάσης δεδομένων πληρώνοντας τους χάκερ είναι ένα απίθανο σενάριο, καθώς η πρακτική και οικονομική πρόκληση για τον εισβολέα να αποθηκεύσει τα δεδομένα τόσων πολλών βάσεων δεδομένων είναι ανέφικτη.
Δείτε επίσης: 23,600 παραβιασμένες βάσεις δεδομένων διέρρευσαν στο διαδίκτυο
Αντίθετα, οι απειλητικοί φορείς απλώς διαγράφουν τα περιεχόμενα της απροστάτευτης βάσης δεδομένων και αφήνουν ένα σημείωμα για λύτρα, ελπίζοντας ότι το θύμα θα πιστέψει τους ισχυρισμούς του. Μέχρι στιγμής, μία από τις διευθύνσεις Bitcoin wallet που εμφανίζονται στα ransom notes έχει λάβει μία πληρωμή.
Ωστόσο, για τους κατόχους δεδομένων, εάν δεν λαμβάνουν τακτικά αντίγραφα ασφαλείας, η απώλεια των πάντων από ένα τέτοιο wipe είναι περισσότερο από πιθανό να οδηγήσει σε σημαντικές οικονομικές ζημιές.
Ορισμένες από αυτές τις βάσεις δεδομένων υποστηρίζουν διαδικτυακές υπηρεσίες, επομένως υπάρχει πάντα ο κίνδυνος διακοπής λειτουργίας της επιχείρησης που θα μπορούσε να κοστίσει πολύ περισσότερο από το μικρό ποσό που απαιτούν οι απατεώνες.
Επίσης, οι οργανισμοί δεν πρέπει ποτέ να αποκλείουν την πιθανότητα οι εισβολείς να κλέβουν τα δεδομένα για να τα αποκτήσουν με διάφορους τρόπους.
Elasticsearch ασφάλεια
Δυστυχώς, για όσο διάστημα οι βάσεις δεδομένων είναι εκτεθειμένες στο διαδίκτυο χωρίς να τις ασφαλίζουν σωστά, αυτές οι ευκαιριακές επιθέσεις θα συνεχίσουν να τις στοχεύουν.
Μια πρόσφατη έκθεση του Group-IB δείχνει ότι περισσότερα από 100.000 Elasticsearch instances βρέθηκαν εκτεθειμένα στο web το 2021, αντιπροσωπεύοντας περίπου το 30% του συνόλου των 308.000 εκτεθειμένων βάσεων δεδομένων το 2021.
Σύμφωνα με την ίδια αναφορά, οι διαχειριστές της βάσης δεδομένων χρειάζονται κατά μέσο όρο 170 ημέρες για να συνειδητοποιήσουν ότι έχουν κάνει ένα λάθος ρύθμισης παραμέτρων, αφήνοντας άφθονο χρόνο στους κακόβουλους παράγοντες για να εκτελέσουν επιθέσεις.
Όπως υπογραμμίζει η Secureworks, καμία βάση δεδομένων δεν πρέπει να είναι δημόσια, εκτός εάν είναι απαραίτητο για τον ρόλο της. Επιπλέον, εάν απαιτείται απομακρυσμένη πρόσβαση, οι διαχειριστές θα πρέπει να ρυθμίσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων για εξουσιοδοτημένους χρήστες και να περιορίσουν την πρόσβαση μόνο σε σχετικά άτομα.
Δείτε επίσης: Βάσεις δεδομένων Αμερικανών ψηφοφόρων εκτέθηκαν σε hacking forums
Οι οργανισμοί που αναθέτουν αυτές τις υπηρεσίες σε εξωτερικούς παρόχους cloud θα πρέπει να διασφαλίζουν ότι οι πολιτικές ασφαλείας του προμηθευτή είναι συμβατές με τα πρότυπά τους και ότι όλα τα δεδομένα προστατεύονται επαρκώς.
Πηγή πληροφοριών: bleepingcomputer.com
