Categories: Cloud

Ransom-Attacke gegen offene AWS-Instanzen

Mehr als 35.000 Server haben eine Verbindung ins Internet offen. Die Mehrzahl dieser Instanzen sind offenbar AWS ElasticSearch-Instanzen, wenn man John Matherly, dem Gründer von Shodan, einer Suchmaschine für mit dem Internet verbundenen Geräte glauben möchte. Offenbar haben Nutzer hier unbeabsichtigt Ports offen gelassen. Jetzt greifen Cyberkriminelle auf diese Datenbanken zu, kopieren und löschen die Daten in diesen Instanzen und erpressen die Opfer. Diese müssen einen Betrag bezahlen, um ihre Daten wieder zurückzubekommen.

Shodan listet Instanzen, die offenbar unabsichtlich mit dem Internet verbunden sind. (Bild: Shodan.io)

Wie aus Sicherheitskreisen bekannt wurde, sollen bereits mehr als 360 Instanzen von dieser Attacke betroffen sein. Die Angreifer fordern 0,2 Bitcoin für die Herausgabe der Daten. Die Zahl könnte noch steigen, denn insgesamt sind mehrere Tausend Instanzen für solche Angriffe verwundbar. Amazon schickt wie berichtet wird bereits Warnungen an Anwender.

Die Opfer der Attacke hingegen bekommen folgende Nachricht:

“Send 0.2 bitcoins to this wallet: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r if you want recover your database! Send to this email your service IP after sending the bitcoins p14t0s@sigaint.org.”

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Stategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

0,2 Bitcoins werden auch in einem ähnlichen Angriff auf MongoDB-Instanzen gefordert. Hier sind jedoch keine Cloud-Installationen sondern lokal installierte Datenbanken von dem Angriff betroffen. Auch hier haben mehrere Tausend Administratoren offenbar übersehen, einen Port zu schließen. Damit ist die Datenbank per Default mit einem Port mit dem Internet verbunden. Über eine spezielle Abfrage lassen sich diese Datenbanken remote ausfindig machen. Angreifer können dann ohne weitere Authentifizierung vollständig auf die Datenbanken zugreifen.

Die Attacken sind sich sehr ähnlich. Denn auch hier verfahren die Angreifer so, dass sie Inhalte in der Datenbank kopieren und dann beim Nutzer löschen. Die Herausgabe der Daten erfolgt ebenfalls nach Zahlung einer Bitcoin. Problem hier ist, dass viele Betroffene keine Backups der Daten haben. Inzwischen hat der Hersteller mit der Veröffentlichung eines Advisories reagiert.

Die australische Australian Internet Security Initiative (AISA) untersucht ebenfalls Services, die mit dem Internet verbunden sind und veröffentlich dazu auch Zahlen.

Das höchste Risiko sieht AISA jedoch in offenen Intelligent Platform Management Interface (IPMI) Services, die einen offenen Port haben und auf die man daher vom Internet aus zugreifen kann. AISA verweist im Zusammenhang mit den aktuellen Angriffen auf eine Warnung des US-CERT.

Viele Server werden mit einem IPMI geliefert und bieten nicht nur die Möglichkeit, die Server zu verwalten, sondern eben auch die Kontrolle darüber zu übernehmen. Namentlich genannt werden von US-CERt HP Integrated Lights Out, Dell DRAC und IBM Remote Supervisor Adapter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Lesen Sie auch : Kein Zugriff auf die Cloud
Redaktion

Recent Posts

Sicherheitsaspekte im Online-Gaming

Sowohl „just for fun“ als auch als ernster Liga-Wettkampf oder als Glücksspiel mit echtem Geld…

2 Stunden ago

Digitale Richterassistenten für Justiz Baden-Württemberg

KI soll Richter in der Sozialgerichtsbarkeit entlasten, indem die Aktenstrukturierung vereinfacht wird.

5 Stunden ago

Autonome KI Sales Agents unterstützen Vertrieb

Einstein Sales Development Rep (SDR) Agent und Einstein Sales Coach Agent von Salesforce werden ab…

21 Stunden ago

All-Flash-Rechenzentren senken Energiekonsum durch KI

KI und ihre riesigen Datenmengen stellen die ohnehin schon überlasteten Rechenzentren vor echte Herausforderungen, warnt…

3 Tagen ago

Digitaler Zwilling hilft Hofbieber zur Erreichung der Klimaziele

Die hessische Gemeinde plant, bis 2030 klimaneutral zu werden, indem sie einen Digitalen Zwilling von…

3 Tagen ago

Stromversorgung und Kühlung im KI-Rechenzentrum

Durch Künstliche Intelligenz verändert sich die Infrastruktur von Rechenzentren grundlegend, sagt Anton Chuchkov von Vertiv.

3 Tagen ago