Ransom-Attacke gegen offene AWS-Instanzen

CloudIAAS

Erneut machen sich Kriminelle verbreitete Konfigurationsfehler in Datenbanken zu nutze. Bereits vor wenigen Tagen gab es eine vergleichbare Welle gegen unsicher konfigurierte, lokal installierte MongoDB-Instanzen.

Mehr als 35.000 Server haben eine Verbindung ins Internet offen. Die Mehrzahl dieser Instanzen sind offenbar AWS ElasticSearch-Instanzen, wenn man John Matherly, dem Gründer von Shodan, einer Suchmaschine für mit dem Internet verbundenen Geräte glauben möchte. Offenbar haben Nutzer hier unbeabsichtigt Ports offen gelassen. Jetzt greifen Cyberkriminelle auf diese Datenbanken zu, kopieren und löschen die Daten in diesen Instanzen und erpressen die Opfer. Diese müssen einen Betrag bezahlen, um ihre Daten wieder zurückzubekommen.

Shodan listet Instanzen, die offenbar unabsichtlich mit dem Internet verbunden sind. (Bild: Shodan.io)
Shodan listet Instanzen, die offenbar unabsichtlich mit dem Internet verbunden sind. (Bild: Shodan.io)

Wie aus Sicherheitskreisen bekannt wurde, sollen bereits mehr als 360 Instanzen von dieser Attacke betroffen sein. Die Angreifer fordern 0,2 Bitcoin für die Herausgabe der Daten. Die Zahl könnte noch steigen, denn insgesamt sind mehrere Tausend Instanzen für solche Angriffe verwundbar. Amazon schickt wie berichtet wird bereits Warnungen an Anwender.

Die Opfer der Attacke hingegen bekommen folgende Nachricht:

“Send 0.2 bitcoins to this wallet: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r if you want recover your database! Send to this email your service IP after sending the bitcoins p14t0s@sigaint.org.”

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Stategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)
Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Stategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

0,2 Bitcoins werden auch in einem ähnlichen Angriff auf MongoDB-Instanzen gefordert. Hier sind jedoch keine Cloud-Installationen sondern lokal installierte Datenbanken von dem Angriff betroffen. Auch hier haben mehrere Tausend Administratoren offenbar übersehen, einen Port zu schließen. Damit ist die Datenbank per Default mit einem Port mit dem Internet verbunden. Über eine spezielle Abfrage lassen sich diese Datenbanken remote ausfindig machen. Angreifer können dann ohne weitere Authentifizierung vollständig auf die Datenbanken zugreifen.

Die Attacken sind sich sehr ähnlich. Denn auch hier verfahren die Angreifer so, dass sie Inhalte in der Datenbank kopieren und dann beim Nutzer löschen. Die Herausgabe der Daten erfolgt ebenfalls nach Zahlung einer Bitcoin. Problem hier ist, dass viele Betroffene keine Backups der Daten haben. Inzwischen hat der Hersteller mit der Veröffentlichung eines Advisories reagiert.

Die australische Australian Internet Security Initiative (AISA) untersucht ebenfalls Services, die mit dem Internet verbunden sind und veröffentlich dazu auch Zahlen.

Das höchste Risiko sieht AISA jedoch in offenen Intelligent Platform Management Interface (IPMI) Services, die einen offenen Port haben und auf die man daher vom Internet aus zugreifen kann. AISA verweist im Zusammenhang mit den aktuellen Angriffen auf eine Warnung des US-CERT.

Viele Server werden mit einem IPMI geliefert und bieten nicht nur die Möglichkeit, die Server zu verwalten, sondern eben auch die Kontrolle darüber zu übernehmen. Namentlich genannt werden von US-CERt HP Integrated Lights Out, Dell DRAC und IBM Remote Supervisor Adapter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen