Фальшивое вымогательское ПО атакует уязвимые Redis-серверы

Эксперты компании Duo Labs выявили мошенническую схему, призванную обманным образом заставить владельцев СУБД Redis заплатить деньги за восстановление данных, якобы зашифрованных вымогательским ПО. В ходе атаки злоумышленник взламывает незащищенные Redis-серверы, добавляет собственный SSH-ключ, удаляет все данные и оставляет сообщение с требованием выкупа в размере 2 биткойнов (примерно $1,1 тыс.).

Исследователи Duo Labs установили ловушку с целью выяснить количество доступных online баз данных Redis, потенциально уязвимых к данным атакам. Как оказалось, более 18 тыс. БД находятся в открытом доступе без парольной защиты, причем на большинстве серверов используются устаревшие версии Redis. На 13 тыс. хостов были обнаружены свидетельства атаки (SSH-ключ под названием «crackit», оставленный злоумышленником после взлома уязвимого сервера). За месяц действия ловушки исследователи зафиксировали ряд атак, осуществленных с 15 уникальных IP-адресов.

После компрометации сервера мошенник не пытается зашифровать или скопировать данные, а просто удаляет всю информацию из папок /var/www/, /usr/share/nginx/, /var/lib/mysql/ и /data/. Затем злоумышленник переписывает приветственное сообщение на сервере и добавляет файл с требованием выкупа в корневую папку READ_TO_DECRYPT. По сути, преступник пытается заставить жертву заплатить деньги за данные, которых уже не существует. Согласно статистике Bitcoin, пока злоумышленнику удалось заработать всего 2.5995 биткойна (~$1,45 тыс.).