Forskere ved Secureworks’ Counter Threat Unit (CTU) fandt ud af, at indekserne for flere internetforbundne Elasticsearch-databaser var blevet erstattet med en løsesumseddel.
CTU siger, at sedlen beder om en bitcoin-betaling i bytte for dataene. Den siger, at indekserne er i forskellige versioner af Elasticsearch og ikke kræver læse- eller skrivegodkendelse.
CTU-forskere identificerede mere end 1.200 Elasticsearch-databaser indeholdende løsesumsedler. Men de siger, at det er umuligt at bestemme det faktiske antal ofre, fordi de fleste af databaserne var hostet på netværk, der drives af cloud computing-udbydere.
De siger, at det er sandsynligt, at nogle af databaserne tilhører den samme organisation, men i de fleste tilfælde var det ikke muligt at identificere specifikke ofre.
I hvert tilfælde blev de data, der var gemt i databaserne, erstattet af en løsesumseddel gemt i “besked”-feltet i indekset kaldet “read_me_to_recover_database”. CTU siger, at der var en kontakt-e-mail i “e-mail”-feltet. CTU-forskere identificerede fire forskellige e-mailadresser, der blev brugt i denne kampagne.
De siger, at kampagnen er bred, og løsesummen er relativt lille. Mere end 450 individuelle anmodninger om løsesum er blevet indgivet for over $280.000. Den gennemsnitlige anmodning om løsesum var omkring $620 og kunne indbetales til en af to bitcoin-punge.
Men CTU-forskere siger, at begge tegnebøger i øjeblikket er tomme og ikke ser ud til at være blevet brugt til løsesum-relaterede pengetransaktioner. De siger, at selvom kampagnen ser ud til at være mislykket, udgør den en risiko for organisationer, der hoster data i onlinedatabaser.
CTU-forskere siger, at usikre Elasticsearch-forekomster er nemme at identificere ved hjælp af Shodan-søgemaskinen, og instruktioner er tilgængelige til at identificere usikre Elasticsearch-databaser.
De siger, at angriberen sandsynligvis brugte et automatiseret script til at identificere sårbare databaser, slette data og fjerne løsesumsedlen. Mens en trusselaktør kunne bruge et værktøj som Elasticdump til at eksfiltrere data, ville omkostningerne ved at lagre data fra 1200 databaser være meget høje. CTU-forskere siger, at det er sandsynligt, at dataene ikke blev sikkerhedskopieret, og at betaling af løsesummen ikke ville have genoprettet dem.
CTU siger, at denne ondsindede aktivitet ikke er unik for Elasticsearch.
I 2020 fandt tredjepartsforskere ud af, at cirka halvdelen af åbne MongoDB-instanser var blevet fjernet og erstattet med en lignende løsesumseddel. CTU hævder, at brugen af usikrede databaser ikke er begrænset til datatyveri og afpresningskampagner.
Den fastslår, at angribere, der leder efter følsom information relateret til specifikke organisationer, hurtigt kan oprette søgeforespørgsler, der identificerer relevante data i indekser af databaser, der er tilgængelige på internettet.
CTU siger, at når en database har brug for fjernadgang, bør organisationer implementere Multi-Factor Authentication (MFA) for at sikre tjenester forbundet til internettet. Organisationer bør også gennemgå cloududbyders sikkerhedspolitikker og ikke antage, at data er sikre som standard.