Bilgisayar korsanları, kötü güvence altına alınan elasticsearch veritabanlarını hedef aldı ve 450 endeksi, içerikleri geri yüklemek için 620 dolar isteyen fidye notlarıyla değiştirdi ve toplam talep 279.000 dolar.
Tehdit oyuncusu ödemeler için yedi günlük bir son tarih belirledi ve bundan sonra talebi iki katına çıkarmakla tehdit ediyor. Başka bir hafta para almadan geçerse, kurbanın endeksleri kaybedeceğini söylüyorlar.
Miktarı ödeyenler, veri yapısını hızlı bir şekilde orijinal formuna geri yüklemeye yardımcı olacak veritabanı dökümüne bir indirme bağlantısı vaat edilir.
Bu kampanya, fidye ödemesi için 450'den fazla bireysel talep belirleyen SecureWorks'teki tehdit analistleri tarafından keşfedildi.
SecureWorks'e göre, tehdit aktörleri korunmasız veritabanlarını ayrıştırmak, verilerini silmek ve fidye eklemek için otomatik bir komut dosyası kullanıyor, böylece bu işlemde herhangi bir manuel katılım yok gibi görünüyor.
Bu kampanya yeni değil ve daha önce birçok kez ve diğer veritabanı yönetim sistemlerine karşı benzer fırsatçı saldırılar gördük [1, 2, 3].
Saldırganın bu kadar çok veritabanının verilerini saklaması için pratik ve finansal zorluk olduğu için, hackerlara ödeme yaparak veritabanı içeriğinin geri yüklenmesi beklenmedik bir senaryodur.
Bunun yerine, tehdit aktörleri, kurbanın iddialarına inanmasını umarak korunmasız veritabanının içeriğini siler ve fidye notu bırakır. Şimdiye kadar, fidye notlarında görülen bitcoin cüzdan adreslerinden biri bir ödeme aldı.
Bununla birlikte, veri sahipleri için, düzenli yedeklemeler yapmazlarsa, böyle bir silme işleminden her şeyi kaybetmek, önemli finansal zararlara yol açma olasılığı daha yüksektir.
Bu veritabanlarından bazıları çevrimiçi hizmetleri desteklemektedir, bu nedenle her zaman dolandırıcıların talep ettiği az miktardan çok daha pahalıya mal olabilecek iş kesintisi riski vardır.
Ayrıca, kuruluşlar davetsiz misafirlerin verileri çeşitli şekillerde para kazanma olasılığını asla dışlamamalıdır.
Ne yazık ki, veritabanları internetin kamusal yüzüne düzgün bir şekilde güvence altına alınmadan maruz kaldığı sürece, bu fırsatçı saldırılar bunları hedeflemeye devam edecektir.
Grup-IB'nin yakın tarihli bir raporu, 2021'de Web'de 100.000'den fazla elasticsearch örneğinin bulunduğunu ve 2021'de toplam 308.000 açık veritabanının yaklaşık% 30'unu oluşturduğunu gösteriyor.
Aynı rapora göre, veritabanı yöneticilerinin bir yapılandırma hatası yaptıklarını fark etmek için ortalama 170 gün sürdüğü ve kötü amaçlı aktörlerin saldırı yapması için bolca zaman bırakması gerekiyor.
SecureWorks'in altını çizdiği gibi, rolleri için gerekli olmadığı sürece hiçbir veritabanı kamuya açık olmamalıdır. Ayrıca, uzaktan erişim gerekiyorsa, yöneticiler yetkili kullanıcılar için çok faktörlü kimlik doğrulama oluşturmalı ve yalnızca ilgili kişilere erişimi kısıtlamalıdır.
Bu hizmetleri bulut sağlayıcılarına dış kaynaklardan sağlayan kuruluşlar, satıcının güvenlik politikalarının standartlarıyla uyumlu olmasını ve tüm verilerin yeterince korunmasını sağlamalıdır.
Redis, MongoDB ve Elastik: 2022’nin en çok açık veritabanları
İnternette 3,6 milyondan fazla MySQL sunucusu bulundu
Kızgın It Yönetici İşveren veritabanlarını siliyor, 7 yıl hapis cezası alıyor
Microsoft, kullanıcı veritabanlarını açığa çıkaran Extrareplica Azure hatalarını düzeltiyor
Fidye ödemesi, fidye yazılımı saldırılarının toplam maliyetinin yaklaşık% 15'i
Kaynak: Bleeping Computer