Datenbank-Erpresser: Nach MongoDB ist auch Elasticsearch im Visier
Online-Erpresser räumten tausende Elasticsearch-Installationen leer und erpressen nun deren Betreiber: Entweder fließt Geld oder die Daten bleiben verloren. Zuvor wurden in ähnlichen Fällen inzwischen fast 20.000 Euro von MongoDB-Betreibern abgezockt.
(Bild: Elasticsearch BV)
- Ronald Eikenberg
Nach der Welle an Erpressungsversuchen gegen Betreiber von MongoDB-Datenbanken haben Online-Ganoven nun auch tausende Elasticsearch-Installationen in Beschlag genommen. Dies geht aus einer Analyse der Sicherheitsforscherr Matt Bromiley, Victor Gevers und Niall Merrigan hervor. Demnach haben die Täter, denen drei Mail-Adressen zuzuordnen sind, inzwischen mehr als dreitausend Elasticsearch-Installationen platt gemacht und mit einer Lösegeldforderung versehen. Darunter befinden sich auch Ziele in Deutschland. Die Erpresser behaupten, die Daten nach einer Zahlung in Höhe von 0,1 bis 0,2 Bitcoin (rund 80 bis 160 Euro) wieder lesbar zu machen.
CERT-Bund informierte Netzbetreiber – schon vor zwei Jahren
Mindestens zwei Opfer versuchten öffentlich einsehbaren Bitcoin-Transaktionen zufolge auf diesem Weg ihre Daten zu retten. Betroffen sind über das Internet erreichbare, unzureichend geschützte Elasticsearch-Installationen. Das CERT-Bund des Bundesamts für Sicherheits in der Informationstechnik (BSI) machte über Twitter auf das Problem aufmerksam und berichtet, dass es deutsche Netzbetreiber schon seit zwei Jahren auf offene Elasticsearch-Instanzen hinweist. Üblicherweise werden die Netzbetreiber in solchen Fällen aufgefordert, die betroffenen Kunden über das Sicherheitsproblem in Kenntnis zu setzen.
Sicherheitsmaßnahmen für Admins
In ihrem Advisory haben die drei Forscher Tipps zur Absicherung von Elasticsearch zusammengestellt. Darunter befindet sich das Anlegen einer Firewall-Regel, welche die Kommunikation auf Port 9200 zu nicht vertrauenswürdigen IP-Adressen verhindert. Der wichtigste Tipp lautet jedoch regelmäßig Backups anzulegen, um die potenziell wertvollen Daten im Fall der Fälle wiederherstellen zu können. Weitere Tipps zum sicheren Betrieb von Elasticsearch-Clustern liefert der Hersteller.
MongoDB-Admins abgezockt
Neue Zahlen belegen unterdessen, dass die Erpressung von Betreibern unzureichend geschützter MongoDB-Server weiterhin ein einträgliches Geschäft ist: Laut einer Auswertung des Zahlungsverkehrs, der über die in den Erpresserbotschaften hinterlegten Bitcoin-Adressen abgewickelt wurde, konnten die Abzocker inzwischen umgerechnet fast 20.000 Euro von den Datenbank-Betreibern ergaunern. Der Auswertung zufolge könnten viele Opfer das Lösegeld umsonst gezahlt haben: Die derzeit aktivste Tätergruppe wurde demnach mehrfach dabei beobachtet, dass sie die Daten vor dem Löschen gar nicht gesichert hat. (rei)
