原标题:资安周报第58期:勒索攻击大举锁定后端系统,下个目标是Hadoop
灾情遍野的勒索软体是去年最让企业资安长头痛的问题之一,光是美国在2016年的勒索软体犯罪规模,就达到10亿美元,比2015年暴增了40倍之多。儘管美国FBI疾呼,不要付款,但仍有高达七成企业被迫支付赎金,来换回解密金钥。根据IBM统计资料,20%付款企业付出了4万美元以上的赎金(相当于台币120万元)才解套。尤其医疗业愿意付赎金的比率,更胜其他产业,也成了骇客勒赎的首要目标。
骇客食髓知味,不只攻击PC,也开始锁定行动装置,甚至是数位电视上的私人重要档案。甚至还将勒索软体变成了一种勒索软体租用服务,骇客不只协助客製勒索软体,还提供勒索软体散播、感染资讯的报表服务。甚至出现了老鼠会的新型态散布模式,要求受害人,帮忙散布勒索软体,成功感染2个人,就能免费取得解密金钥,将被害人变成了帮兇。
更有骇客更将勒索软体程式码原始码公开,光是去年就衍生了62类勒索软体家族,5万多个变种,等于是火上加油,让预警和防护的难度越来越高。这也逼得全球资安产业、各国警调和跨国警察组织大联手,成立了No More Ransom勒索软体对抗联盟,彙整了16万个解密金钥和32款解密工具来对抗,至今已帮6千多人成功解密,救回遭绑的档案。
但在今年一开春,至少上万家企业的资料库管理员哀嚎不已,被迫要在两个决定中做出选择:向骇客妥协付款取得资料库内容,或是放弃资料库最新异动,改从前一次备份来复原。嚐到绑架个人档案甜头的黑色产业,再度将矛头锁定企业。原本以绑架PC档案为主的勒索软体手法,开始锁定企业后端系统,不到2个礼拜,就传出高达34,000个MongoDB资料库遭害。
根据资安专家推测,骇客事先蒐集了不少资安漏洞,再透过特殊搜寻引擎或自动化搜寻工具,例如专门搜寻全球连网装置的IoT搜寻引擎Shodan,来找到直接暴露在网际网路上,而没有在企业防火墙内的后端系统,再利用漏洞入侵这些后端系统,複製受害对象的资料后,再删除资料来勒赎,付款才返还资料。
根据No More Ransom勒索软体对抗网站的分类,原本5种常见勒索软体中,就有一种以入侵CMS加密网站系统档案来勒赎的手法,不过,过去多以加密档案来勒赎,攻击者现在的手法则是直接窃资后再破坏原有档案,再向企业勒索比特币赎金。
第一个遭锁定的企业后端系统是MongoDB资料库。从今年1月4日,资安研究员揭露,有一个Harak1r1骇客组织,利用旧版MongoDB资料库的漏洞,入侵且删除了2千多个MongoDB,并有十多人付赎金,其他骇客也开始仿效,灾情越演越烈,才2周时间,就传出超过20组骇客组织採取了类似手法,绑架超过了3万多个MongoDB资料库。同一时间中国也传出了不少类似资料库遭绑架勒索比特币的求助讯息。
几位资安专家联手汇集受害者资讯,资料库遭绑企业包括了线上广告业者、游戏业者、博奕业者、E-learning平台、媒体产业、行销公司、网路分析平台、电商、软体开发商、大学、主机代管商、电信业,另有多个国家的金融服务业者也遭殃(美国、德国、中国、荷兰、比利时、西班牙等国)。遭绑企业中约有1成没有妥善备份。更惨的是,并非所有骇客都是真的保留了原始资料待赎,资安专家们估计,约价值2万美元的比特币赎金,付款后什幺资料都拿不到。
骇客锁定的是旧版MongoDB的漏洞,只有升级新版才能解决,不少受害企业没有升级,又在配置中预设允许外部存取,就暴露在网际网路上,遭到骇客锁定。MongoDB勒索灾情曝光后,许多企业才发现自家MongoDB已经成了骇客觊觎的对象,甚至被列入绑架名单出售。逼得MongoDB产品母公司出面,提供了一个安全检查表供用户检查自己的安全状态,在网路上曝光的不安全MongoDB数量才大幅降低了。
不过,MongoDB绑架勒索灾情仍旧没有停止,骇客又转向锁定了另一个新创和网路业者爱用的开源搜寻引擎ElasticSearch,从1月12日开始,有用户到ElasticSearch论坛上求救,指称自己的ElasticSearch丛集遭到移除,收到骇客勒索0.2个比特币的警告讯息,付赎金才能回覆丛集资料。根据一位白帽骇客Victor Gevers的统计,目前有三组人马锁定ElasticSearch发动攻击,不到3天就攻陷了2515个ElasticSearch伺服器,一周来累计更绑架了4千6百多台。而目前,暴露在网际网路上的ElasticSearch伺服器超过3万4千多个,都可能成为遭绑肉票。
资安专家Victor Gevers警告,甚至还有骇客组织Kraken0把这两套受害产品的可攻击名单(10万个Mongodb资料库目标和3万个Elasticsearch伺服器的IP位址),连同入侵攻击工具、寻找受害对象的自动化扫描工具等,都打包成一个Ransomware攻击包,在网路上兜售,一包只卖500美元,还能提供攻击原始码。
资安专家警告:下一个勒索目标是HadoopCapgemini顾问公司有位资安专家Naill Merrigan甚至观察到,下一个将会爆发绑架勒索灾情的企业软体是Hadoop。据他追蹤,从1月12日开始,出现了一个骇客组织NODATA4U专门锁定Hadoop,目前已出现了115个受害者。他提醒,Hadoop丛集所用的底层分散式档案系统HDFS,预设在50070埠提供了网页存取介面,而且预设配置会关闭「资安(Security)」和「安全模式(Safemode)」,而且预设安装程序上,会允许任何未授权的使用者,都可以执行超级使用者(Super User)的功能,若Hadoop环境曝光在外部网路环境上就会有安全隐忧,攻击者透过浏览器就可以破坏这些缺乏保护的Hadoop丛集底层资料。据他追蹤,有5千多个Hadoop丛集曝光。
这三个遭骇客锁定的企业级软体,本来多用于企业内部环境中的应用系统上,理应会受到企业防火墙的保护,因此,也多半在预设安装上,选择提供不设防的网路存取介面,以便内部使用者操作。
但是,现在的搜寻引擎技术威力强大,甚至像Shodan这类IoT搜寻引擎,专门锁定IP和特定产品通讯埠来搜寻的工具,也有好几款。就算企业没有对外公开,这些缺乏防护的内部系统IP,也会被列入搜寻索引成了公开资料,也是骇客觊觎的对象。
不过,因为骇客多半使用自动化工具来盲目攻击,因此对抗之道也不难,只要真正能落实基本的资安措施,如系统定期更新、强化防火墙等,以及最后一道保险,也是最重要的基本措施:彻底做好备份工作,那怕因零时差漏洞遭骇客破坏系统来勒赎,企业才能真正免担心。文⊙王宏仁
相关:
骇客开始兜售MongoDB与ElasticSearch勒索套件
示意图,与新闻事件无关。 白帽骇客Victor Gevers本周发现,骇客集团Kraken0已开始在网路上兜售锁定公开MongoDB与ElasticSearch伺服器的勒索套件。Kraken0开出的价码为价值500美元的0.6个比特币,可以获得MongoDB勒
图片来源: 资料来源:美国FBI、IBM X-Force,iThome整理製图 由于勒索软体是最热门的网路犯罪手法,美国FBI评估,2016年勒索软体美国网路犯罪规模超过10亿美元,相较2015年全年勒索软体犯罪规模只有2,400万美元,成长
图片来源: 资料来源:美国FBI、IBM X-Force,iThome整理製图 由于勒索软体是最热门的网路犯罪手法,美国FBI评估,2016年勒索软体美国网路犯罪规模超过10亿美元,相较2015年全年勒索软体犯罪规模只有2,400万美元,成长
研究人员释出CryptoSearch,找出被勒索软件加密的档案先备份日后再解
资安研究人员Michael Gillespie于本周释出了CryptoSearch程式,可将Windows电脑上遭到勒索软体加密的档案备份到其他位置并建档,若日后出现了解密工具即可挽救这些档案。CryptoSearch奠基在同为Gillespie所开发的 ID
研究人员释出CryptoSearch,找出被勒索软件加密的档案先备份日后再解
资安研究人员Michael Gillespie于本周释出了CryptoSearch程式,可将Windows电脑上遭到勒索软体加密的档案备份到其他位置并建档,若日后出现了解密工具即可挽救这些档案。CryptoSearch奠基在同为Gillespie所开发的 ID