استهدف المتسللون قواعد بيانات Elasticsearch غير المؤمنة بشكل جيد واستبدلوا 450 فهرسًا بمذكرات فدية تطلب 620 دولارًا لاستعادة المحتويات، وهو ما يبلغ إجمالي الطلب 279000 دولار.
حدد الفاعلون المهددون مهلة سبعة أيام للمدفوعات ويهددون بمضاعفة الطلب بعد ذلك. إذا مر أسبوع آخر دون الحصول على أجر، فإنهم يقولون إن الضحية ستفقد الفهارس.
يتم وعد أولئك الذين يدفعون المبلغ برابط تنزيل لتفريغ قاعدة البيانات الخاصة بهم والذي من المفترض أن يساعد في استعادة بنية البيانات إلى شكلها الأصلي بسرعة.
تم اكتشاف هذه الحملة من قبل محللي التهديدات في Secureworks ، الذين حددوا أكثر من 450 طلبًا فرديًا لدفع الفدية.
وفقًا لـ Secureworks، يستخدم المهاجمون نصًا آليًا لتحليل قواعد البيانات غير المحمية، ومسح بياناتهم، وإضافة الفدية، لذلك لا يبدو أن هناك أي مشاركة يدوية في هذه العملية.
هذه الحملة ليست جديدة، وقد رأينا هجمات انتهازية مماثلة مرات عديدة من قبل وضد أنظمة إدارة قواعد البيانات الأخرى أيضًا/
استعادة محتويات قاعدة البيانات عن طريق الدفع للمتسللين هو سيناريو غير محتمل، حيث إن التحدي العملي والمالي الذي يواجهه المهاجم لتخزين بيانات العديد من قواعد البيانات أمر غير ممكن.
بدلاً من ذلك، يقوم المهاجمون ببساطة بحذف محتويات قاعدة البيانات غير المحمية وترك مذكرة فدية، على أمل أن تصدق الضحية ادعاءاتهم. حتى الآن، تلقى أحد عناوين محفظة Bitcoin الموضحة في ملاحظات الفدية دفعة واحدة.
أحد عناوين Bitcoin المستخدمة في الحملة |
تدعم بعض قواعد البيانات هذه الخدمات عبر الإنترنت، لذلك هناك دائمًا خطر تعطل الأعمال الذي قد يكلف أكثر بكثير من المبلغ الصغير الذي يطلبه المحتالون.
أيضًا، لا ينبغي للمنظمات أبدًا استبعاد احتمال قيام المتسللين بسرقة البيانات لاستثمارها بطرق مختلفة.
لسوء الحظ، طالما أن قواعد البيانات مكشوفة على الوجه العام للإنترنت دون تأمينها بشكل صحيح، فإن هذه الهجمات الانتهازية ستستمر في استهدافها.
أظهر تقرير حديث صادر عن Group-IB أنه تم العثور على أكثر من 100000 حالة Elasticsearch مكشوفة على الويب في عام 2021، وهو ما يمثل حوالي 30 ٪ من إجمالي 308000 قاعدة بيانات مكشوفة في عام 2021.
العدد الإجمالي لقواعد البيانات التي تم الكشف عنها
إجمالي عدد قواعد البيانات التي تم الكشف عنها منذ بداية عام 2021 (Group-IB)
وفقًا للتقرير نفسه، يستغرق الأمر من مسؤولي قاعدة البيانات 170 يومًا في المتوسط لإدراك أنهم ارتكبوا خطأ في التكوين، مما يترك متسعًا من الوقت للممثلين الضارين لتنفيذ الهجمات.
كما يؤكد Secureworks ، لا ينبغي أن تكون أي قاعدة بيانات عامة ما لم تكن ضرورية لدورها. علاوة على ذلك، إذا كان الوصول عن بُعد مطلوبًا، يجب على المسؤولين إعداد مصادقة متعددة العوامل للمستخدمين المصرح لهم وتقييد الوصول إلى الأفراد المعنيين فقط.
يجب على المنظمات التي تقوم بتعهيد هذه الخدمات إلى موفري السحابة التأكد من أن سياسات أمان البائع متوافقة مع معاييرهم وأن جميع البيانات محمية بشكل كافٍ.