Ratusan database Elasticsearch telah menjadi sasaran ransomware

Halo teman dekat TanyaTekno, ketemu kembali kita di artikel ini. Di artikel ini saya akan mengupas Ratusan database Elasticsearch telah menjadi sasaran ransomware

Peretas menargetkan basis data Elasticsearch yang tidak aman dan mengganti 450 indeks dengan catatan tebusan yang meminta $620 untuk memulihkan konten, sehingga total permintaan menjadi $279.000.

Perwakilan ancaman telah menetapkan tenggat waktu tujuh hari untuk pembayaran dan mengancam akan melipatgandakan permintaan setelah itu. Jika seminggu lagi berlalu tanpa dibayar, mereka mengatakan korban akan kehilangan indeks.

Mereka yang membayar dijanjikan tautan unduhan untuk membongkar basis data mereka yang seharusnya membantu memulihkan struktur data ke bentuk aslinya dengan cepat.

Kampanye ini ditemukan oleh analis ancaman di Secureworks, yang mengidentifikasi lebih dari 450 pembayaran tebusan individu.

Menurut Secureworks, penyerang menggunakan skrip otomatis untuk mengurai basis data yang tidak terlindungi, menghapus data mereka, dan menambahkan ransomware, sehingga tampaknya tidak ada keterlibatan manual dalam prosesnya.

Jatuhkan catatan tebusan pada database yang dipindai
Jatuhkan catatan tebusan pada database yang dipindai (Secureworks)

Konsekuensi Kampanye

Kampanye ini bukanlah hal baru, dan kami telah melihat serangan oportunistik serupa berkali-kali sebelum dan juga terhadap DBMS lain. [1, 2, 3].

Memulihkan isi basis data dengan membayar peretas adalah skenario yang tidak mungkin, karena tantangan praktis dan finansial bagi penyerang untuk menyimpan data dari banyak basis data tidak mungkin dilakukan.

Sebaliknya, penyerang hanya menghapus isi database yang tidak dilindungi dan meninggalkan catatan tebusan, berharap korban akan percaya klaim mereka. Sejauh ini, salah satu alamat dompet Bitcoin yang terdapat dalam catatan tebusan telah menerima satu pembayaran.

Salah satu alamat Bitcoin yang digunakan dalam kampanye
Salah satu alamat Bitcoin yang digunakan dalam kampanye (Blockchain.com)

Namun, bagi pemilik data, jika mereka tidak melakukan pencadangan secara teratur, kehilangan semuanya dari pemindaian itu kemungkinan akan menyebabkan kerugian finansial yang signifikan.

Beberapa dari basis data ini mendukung layanan online, jadi selalu ada risiko gangguan bisnis yang dapat menelan biaya lebih dari jumlah kecil yang diminta scammers.

Selain itu, organisasi tidak boleh mengesampingkan kemungkinan bahwa peretas akan mencuri data untuk memonetisasinya dengan berbagai cara.

Keamanan pencarian elastis

Sayangnya, selama basis data terpapar ke wajah publik Internet tanpa diamankan dengan benar, serangan oportunistik ini akan terus menargetkan mereka.

Laporan terbaru oleh Group-IB menunjukkan bahwa lebih dari 100.000 kasus Elasticsearch terungkap di web pada tahun 2021, yaitu sekitar 30% dari total 308.000 database yang terpapar pada tahun 2021.

Jumlah total database yang terdeteksi
Jumlah total database yang terpapar sejak awal 2021 (Grup-IB)

Menurut laporan yang sama, administrator basis data membutuhkan rata-rata 170 hari untuk menyadari bahwa mereka membuat kesalahan konfigurasi, menyisakan banyak waktu bagi pelaku kejahatan untuk melakukan serangan.

Seperti yang ditekankan oleh Secureworks, tidak ada database yang boleh publik kecuali jika penting untuk perannya. Selanjutnya, jika akses jarak jauh diperlukan, administrator harus mengatur otentikasi multi-faktor untuk pengguna yang berwenang dan membatasi akses hanya untuk individu yang dituju.

Organisasi yang mengalihdayakan layanan ini ke penyedia layanan cloud harus memastikan bahwa kebijakan keamanan vendor sejalan dengan standar mereka dan bahwa semua data dilindungi secara memadai.

Demikianlah uraianmengenai Ratusan database Elasticsearch telah menjadi sasaran ransomware

. Jangan Lupa untuk
share artikel ini ya sobat.

Rujukan Artikel