Securitate IT: Ransomware-ul Fairware infecteaza servere prin instante expuse de Redis

Atacatorii exploateaza configuratiile Redis pentru a adauga o cheie SSH pentru contul contul principal

La cateva zile dupa rapoartele ce anuntau ca un nou ransomware sterge fisiere de pe serverele web, cercetatorii de securitate au determinat ca unele dintre servere au fost afectate dupa implementari nesigure ale bazei de date Redis.

In cursul saptamanii trecute au aparut rapoarte pe forumurile de suport despre serverele web ale caror date erau sterse complet si, in locul carora, atacatorii postau un bilet de rascumparare care stipula ca pentru restituirea datelor este nevoie de doua bucati de bitcoin (aproximativ 1150 USD). Expertii au denumit aceasta noua amenintare FairWare.

Miercuri, cercetatorii de la firma de securitate Duo Security a raportat un atac similar impotriva serverelor care gazduiau bazele de date Redis accesibile publicului.

Atacatorii au profitat de configuratiile nesigure pentru a inlocui cheia SSH pentru contul principal. Acestia au folosit accesul dobandit pentru a sterge mai multe directoare, inclusiv directoare web principale, unde sunt gazduite site-uri web, si au lasat in urma un bilet de rascumparare.

Redis este o structura de date in-memory open-source care poate fi folosita ca o baza de date, memorie cache si broker de mesaje. Dezvoltatorii sai avertizeaza ca nu este recomandata expunerea directa a acesteia la internet si ca se doreste accesarea acesteia doar de catre clienti de incredere din interiorul mediilor de incredere.

Recomandarile creatorilor Redis nu au impiedicat administratorii de server web de la expunerea a 18 000 de instante direct la internet si, prin urmare, atragerea de riscuri. 13 000 de instante Redis au prezentat semne de afectare de catre ransomware. Mai precis, in urma scanarilor, s-a constatat ca aceste baze de date detineau un fisier denumit “crackit“, care continea o cheie SSH ce devenise publica.

Chiar daca atacatorii sustin in nota de rascumpare ca dosarele au fost criptate, acest lucru este cel mai probabil fals. Cercetatorii sustin ca cel mai probabil, victimele cu indemnate sa plateasca pentru fisiere care nu mai exista de mult timp.

Pentru mai multe informatii si o oferta personalizata de solutii si de servicii IT, va rugam sa ne contactati.

  
Sursa: www.computerworld.com