Categories: CloudIAAS

Ransom-Attacke gegen offene AWS-Instanzen

Mehr als 35.000 Server haben eine Verbindung ins Internet offen. Die Mehrzahl dieser Instanzen sind offenbar AWS ElasticSearch-Instanzen, wenn man John Matherly, dem Gründer von Shodan, einer Suchmaschine für mit dem Internet verbundenen Geräte glauben möchte. Offenbar haben Nutzer hier unbeabsichtigt Ports offen gelassen. Jetzt greifen Cyberkriminelle auf diese Datenbanken zu, kopieren und löschen die Daten in diesen Instanzen und erpressen die Opfer. Diese müssen einen Betrag bezahlen, um ihre Daten wieder zurückzubekommen.

Shodan listet Instanzen, die offenbar unabsichtlich mit dem Internet verbunden sind. (Bild: Shodan.io)

Wie aus Sicherheitskreisen bekannt wurde, sollen bereits mehr als 360 Instanzen von dieser Attacke betroffen sein. Die Angreifer fordern 0,2 Bitcoin für die Herausgabe der Daten. Die Zahl könnte noch steigen, denn insgesamt sind mehrere Tausend Instanzen für solche Angriffe verwundbar. Amazon schickt wie berichtet wird bereits Warnungen an Anwender.

Die Opfer der Attacke hingegen bekommen folgende Nachricht:

“Send 0.2 bitcoins to this wallet: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r if you want recover your database! Send to this email your service IP after sending the bitcoins p14t0s@sigaint.org.”

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Stategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

0,2 Bitcoins werden auch in einem ähnlichen Angriff auf MongoDB-Instanzen gefordert. Hier sind jedoch keine Cloud-Installationen sondern lokal installierte Datenbanken von dem Angriff betroffen. Auch hier haben mehrere Tausend Administratoren offenbar übersehen, einen Port zu schließen. Damit ist die Datenbank per Default mit einem Port mit dem Internet verbunden. Über eine spezielle Abfrage lassen sich diese Datenbanken remote ausfindig machen. Angreifer können dann ohne weitere Authentifizierung vollständig auf die Datenbanken zugreifen.

Die Attacken sind sich sehr ähnlich. Denn auch hier verfahren die Angreifer so, dass sie Inhalte in der Datenbank kopieren und dann beim Nutzer löschen. Die Herausgabe der Daten erfolgt ebenfalls nach Zahlung einer Bitcoin. Problem hier ist, dass viele Betroffene keine Backups der Daten haben. Inzwischen hat der Hersteller mit der Veröffentlichung eines Advisories reagiert.

Die australische Australian Internet Security Initiative (AISA) untersucht ebenfalls Services, die mit dem Internet verbunden sind und veröffentlich dazu auch Zahlen.

Das höchste Risiko sieht AISA jedoch in offenen Intelligent Platform Management Interface (IPMI) Services, die einen offenen Port haben und auf die man daher vom Internet aus zugreifen kann. AISA verweist im Zusammenhang mit den aktuellen Angriffen auf eine Warnung des US-CERT.

Viele Server werden mit einem IPMI geliefert und bieten nicht nur die Möglichkeit, die Server zu verwalten, sondern eben auch die Kontrolle darüber zu übernehmen. Namentlich genannt werden von US-CERt HP Integrated Lights Out, Dell DRAC und IBM Remote Supervisor Adapter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Intel steigert Umsatz und Gewinn im dritten Quartal

Der Überschuss klettert sogar um 60 Prozent auf fast 7 Milliarden Dollar. Intels eigene Prognose…

1 Stunde ago

G-Core Labs eröffnet Cloud-Standort in Deutschland

Das Luxemburgische Unternehmen bietet seine Dienste hierzulande auf Basis von Intel-Xeon-Scalable-Prozessoren an. Das Angebot umfasst…

2 Stunden ago

Windows 10: Microsoft schließt Entwicklung des 21H2-Updates ab

Das wahrscheinlich finale Build 19044.1288 steht ab sofort im Release Preview Channel zum Download bereit.…

3 Stunden ago

Microsofts weltweite Belegschaft wächst seit 2017 um 46,5 Prozent

In mehr als 100 Ländern arbeiten mehr als 180.000 Menschen für den Softwarekonzern. LinkedIn und…

18 Stunden ago

IBM meldet Zuwächse beim Cloud-Umsatz im dritten Quartal

Das Plus liegt bei 2,5 Prozent. Der Konzernumsatz wächst indes nur um ein Prozent. Zumindest…

19 Stunden ago

Microsoft macht Entwickler-Tool VS Code im Browser verfügbar

Es benötigt Edge oder Chrome. Zudem handelt es sich nur um eine abgespeckte Version von…

19 Stunden ago