Categories: Cloud

Ransom-Attacke gegen offene AWS-Instanzen

Mehr als 35.000 Server haben eine Verbindung ins Internet offen. Die Mehrzahl dieser Instanzen sind offenbar AWS ElasticSearch-Instanzen, wenn man John Matherly, dem Gründer von Shodan, einer Suchmaschine für mit dem Internet verbundenen Geräte glauben möchte. Offenbar haben Nutzer hier unbeabsichtigt Ports offen gelassen. Jetzt greifen Cyberkriminelle auf diese Datenbanken zu, kopieren und löschen die Daten in diesen Instanzen und erpressen die Opfer. Diese müssen einen Betrag bezahlen, um ihre Daten wieder zurückzubekommen.

Shodan listet Instanzen, die offenbar unabsichtlich mit dem Internet verbunden sind. (Bild: Shodan.io)

Wie aus Sicherheitskreisen bekannt wurde, sollen bereits mehr als 360 Instanzen von dieser Attacke betroffen sein. Die Angreifer fordern 0,2 Bitcoin für die Herausgabe der Daten. Die Zahl könnte noch steigen, denn insgesamt sind mehrere Tausend Instanzen für solche Angriffe verwundbar. Amazon schickt wie berichtet wird bereits Warnungen an Anwender.

Die Opfer der Attacke hingegen bekommen folgende Nachricht:

“Send 0.2 bitcoins to this wallet: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r if you want recover your database! Send to this email your service IP after sending the bitcoins p14t0s@sigaint.org.”

Die Mehrzahl der Opfer der jüngsten Ransom-Attacke auf MongoDB haben offenbar keine Backup-Stategie, wie aus der aktuellen Liste von Merrigan und Gevers hervorgehrt. (Screenshot: silicon.de)

0,2 Bitcoins werden auch in einem ähnlichen Angriff auf MongoDB-Instanzen gefordert. Hier sind jedoch keine Cloud-Installationen sondern lokal installierte Datenbanken von dem Angriff betroffen. Auch hier haben mehrere Tausend Administratoren offenbar übersehen, einen Port zu schließen. Damit ist die Datenbank per Default mit einem Port mit dem Internet verbunden. Über eine spezielle Abfrage lassen sich diese Datenbanken remote ausfindig machen. Angreifer können dann ohne weitere Authentifizierung vollständig auf die Datenbanken zugreifen.

Die Attacken sind sich sehr ähnlich. Denn auch hier verfahren die Angreifer so, dass sie Inhalte in der Datenbank kopieren und dann beim Nutzer löschen. Die Herausgabe der Daten erfolgt ebenfalls nach Zahlung einer Bitcoin. Problem hier ist, dass viele Betroffene keine Backups der Daten haben. Inzwischen hat der Hersteller mit der Veröffentlichung eines Advisories reagiert.

Die australische Australian Internet Security Initiative (AISA) untersucht ebenfalls Services, die mit dem Internet verbunden sind und veröffentlich dazu auch Zahlen.

Das höchste Risiko sieht AISA jedoch in offenen Intelligent Platform Management Interface (IPMI) Services, die einen offenen Port haben und auf die man daher vom Internet aus zugreifen kann. AISA verweist im Zusammenhang mit den aktuellen Angriffen auf eine Warnung des US-CERT.

Viele Server werden mit einem IPMI geliefert und bieten nicht nur die Möglichkeit, die Server zu verwalten, sondern eben auch die Kontrolle darüber zu übernehmen. Namentlich genannt werden von US-CERt HP Integrated Lights Out, Dell DRAC und IBM Remote Supervisor Adapter.

Mehr zum Thema

IBM und IoT – Alles dreht sich um Watson

Bei IBM dreht sich das gesamte IoT-Geschäft um die kognitive Plattform Watson IoT. Sie soll zusammen mit Bluemix, einer Art Cloud-Service-Baukasten, die unterschiedlichsten analytischen Dienste und Anwendungen ermöglichen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago