Il n’aura pas fallu longtemps pour que les groupes de pirates commencent à cibler d'autres technologies de stockage de données avec leurs ransomwares. Après avoir effacé les données de milliers de bases MongoDB et de clusters Elasticsearch, les attaques frappent ouvertement les déploiements Hadoop et CouchDB accessibles. Deux chercheurs en sécurité de Fidelis Cybersecurity, Victor Gevers et Niall Merrigan, qui suivaient jusqu'à présent les attaques contre les bases MongoDB et les clusters Elasticsearch, constatent que les bases Hadoop et CouchDB font partie des nouvelles victimes. Les chercheurs ont commencé à répertorier les différentes signatures d'attaque sur Google Docs et les messages laissés par les pirates après l’effacement des données.
Dans le cas de Hadoop, le framework utilisé pour le stockage distribué et le traitement de grands ensembles de données, les attaques observées jusqu'à présent relèvent du vandalisme gratuit, parce que les attaquants ne demandent même pas de rançons pour restituer les données aux victimes. Dans leur message, ils conseillent simplement aux administrateurs Hadoop de mieux sécuriser leurs futurs déploiements. D’après le dernier comptage effectué par Niall Merrigan, jusqu’ici, 126 instances Hadoop ont été effacées. Mais le nombre de victimes risque fort d'augmenter compte tenu des milliers de déploiements Hadoop accessibles depuis Internet, même s’il est difficile de dire combien d’entre eux sont vulnérables.
CouchDB également inquiété par les ransomwares
L’évolution des attaques contre MongoDB et Elasticsearch a suivi le même schéma. En quelques heures, le nombre de victimes MongoDB est passé de quelques centaines à des milliers pour atteindre des dizaines de milliers au bout d’une semaine. Selon les tout derniers chiffres, plus de 34 000 bases de données MongoDB et plus de 4 600 clusters Elasticsearch ont été effacés. Un groupe appelé Kraken0, responsable de la plupart des attaques de ransomwares contre les bases de données, essaie de vendre sa trousse à outils d'attaque et une liste d'installations MongoDB et Elasticsearch vulnérables pour 0,56 bitcoins environ, l’équivalent de 500 dollars.
De la même manière, le nombre de bases de données CouchDB effacées augmente rapidement, atteignant plus de 400 à ce jour. CouchDB est une plate-forme de base de données de type NoSQL, similaire à MongoDB. Contrairement aux bases Hadoop, les attaques contre CouchDB sont accompagnées de demandes de rançon : les attaquants réclament 0,1 bitcoin (environ 100 dollars) pour restituer les données aux victimes. Les experts recommandent de ne pas payer cette rançon, car dans la plupart des attaques MongoDB, il n’est pas sûr que les pirates aient pris la peine de copier les données avant de les supprimer.
D'autres attaques à venir
Les chercheurs de Fidelis Cybersecurity ont également suivi les attaques de Hadoop et ils ont publié sur un blog plus de détails et de recommandations pour aider les administrateurs à mieux sécuriser leurs déploiements. Ces attaques contre les systèmes de stockage de base de données en ligne ne devraient pas s'arrêter de sitôt. D'autres technologies mal configurées et mal protégées, ouvertes sur le web, n'ont pas encore été ciblées…