Как оказалось, виновниками недавних вымогательских атак на Linux-серверы, известных как Fairware, являются экземпляры Redis, открытые для доступа из Интернета. Непростительный промах в настройках позволил атакующим удалять веб-папки, а в некоторых случаях установить вредоносный код.

Сетевое журналируемое хранилище данных Redis с открытым исходным кодом используется разработчиками веб-приложений с тем, чтобы ускорить кэширование данных. Авторы этого инструмента сконфигурировали его таким образом, чтобы доступ к нему могли иметь лишь доверенные клиентские программы, работающие в доверенной среде. При этом в рекомендациях по применению разработчики однозначно указали: Redis не предназначен для публичного доступа.

Тем не менее исследователи из Duo Labs обнаружили онлайн 18 тыс. ненадежных реализаций Redis и свидетельства того, что 13 тыс. из них подверглись атаке. По словам Джордана Райта (Jordan Wright) из Duo, не все атакованные установки скомпрометированы, однако они потенциально способны усугубить проблему.

Одними из первых на атаки Fairware пожаловались форумчане BleepingComputer; атакующие удаляли веб-папку и оставляли на сервере ссылку на требование выкупа, размещенное на Pastebin. Сходство варварских атак на Linux и в BleepingComputer, и в Duo установили после сравнения артефактов: текстов вымогательских сообщений, используемых IP-адресов, ключей SSH и т.п.

Хотя во многих сообщениях атакующие упоминают шифровальщика Fairware, якобы установленного на машину жертвы, свидетельств заражения никому пока обнаружить не удалось. По всей видимости, это были хакерские вторжения; вначале исследователи склонялись к мысли, что злоумышленники подбирали пароль к SSH, однако, по заключению Duo, атаки происходили через открытый Redis.

«Похоже, брутфорс — это ошибочный диагноз, — говорит Райт. — Жертва замечала несанкционированный вход по SSH и принимала это за первопричину. Однако для входа атакующие использовали совсем другой софт, в Redis, и брутфорса он не требовал».

Duo Lab поставила ловушку и смогла увидеть, каким образом злоумышленники проводят «хитроумную», как выразился Райт, атаку. Как оказалось, проблема заключается в том, что некоторые экземпляры Redis открыты для внешнего доступа. Подключение к Redis позволяет клиенту подавать команды GET и SET в отношении данных, получать системную информацию или удаленно изменять настройки. Поиск через Shodan показал, что большинство установленных экземпляров Redis работают с устаревшей версией ПО, тогда как в его новейших версиях предусмотрен защищенный режим, блокирующий данный вектор атаки.

Поскольку настройки уязвимых Redis можно менять удаленно, инициаторам атак удавалось сохранить в корневой папке на диске пару key/value, указывающую на их собственный публичный SSH-ключ, что позволило им осуществлять вход в Redis с правами root.

На большинстве взломанных хостов исследователи из Duo обнаружили ключ с именем crackit — один и тот же открытый ключ SSH. В своем комментарии Threatpost Лоуренс Абрамс (Lawrence Abrams) из BleepingComputer подтвердил, что в ходе атак Fairware ряд жертв обнаружили SSH-ключ crackit и зафиксировали одни и те же IP-адреса. Duo со своей стороны насчитала 15 IP атакующих и, по словам Райта, обнаружила около 4 тыс. экземпляров еще одного SSH-ключа — qwe.

«По нашему мнению, его задал другой злоумышленник, который загружал и исполнял DDoS-зловреда, — отметил Райт. — К этому моменту, если экземпляр Redis взломан таким способом (добавлением SSH-ключа для получения root-доступа), модуль уже полностью скомпрометирован. Атакующие могут войти через SSH и скомпрометировать само устройство. Подобный метод автоматизации столь простого процесса ничего хорошего не сулит и всегда ведет к катастрофе».

Жертвам Fairware не рекомендуется платить вымогателям, так как они, вероятнее всего, мошенники и файлы не вернут. На настоящий момент свидетельств шифрования данных либо сохранения копий не обнаружено.

«Хорошо, что удалось выявить в Интернете необновляемые Redis, к тому же развернутые вопреки правилам безопасности, — добавил в заключение Райт. — Интересно, будут ли еще подобные «ransomware»-атаки с удалением, а не с шифрованием файлов?»

Категории: Аналитика, Главное, Мошенничество, Хакеры