Actus

Des centaines de bases de données Elasticsearch ciblées par des attaques de rançon

Par Philippe Ternision , le 5 juin 2023 - 8 minutes de lecture
Des centaines de bases de données Elasticsearch ciblées par des attaques de rançon
AccueilActusDes centaines de bases de données Elasticsearch ciblées par des attaques de rançon
Notez l'article

Les pirates ont ciblé des bases de données Elasticsearch mal sécurisées et remplacé 450 index par des notes de rançon demandant 620 $ pour restaurer le contenu, ce qui représente une demande totale de 279 000 $.

Les acteurs de la menace ont fixé un délai de sept jours pour les paiements et menacent de doubler la demande par la suite. Si une autre semaine passe sans être payée, ils disent que la victime perdrait les index.

Ceux qui paient le montant se voient promettre un lien de téléchargement vers leur vidage de base de données qui aidera soi-disant à restaurer rapidement la structure des données dans sa forme originale.

Cette campagne a été découverte par les analystes des menaces de Secureworks, qui ont identifié plus de 450 demandes individuelles de paiement de rançon.

Selon Secureworks, les acteurs de la menace utilisent un script automatisé pour analyser les bases de données non protégées, effacer leurs données et ajouter la rançon, de sorte qu’il ne semble pas y avoir d’engagement manuel dans cette opération.

Conséquences de la campagne

Conséquences de la campagne

Cette campagne n’est pas nouvelle, et nous avons déjà vu de nombreuses fois des attaques opportunistes similaires, ainsi que contre d’autres systèmes de gestion de bases de données [1, 2, 3].

A découvrir  Les pirates Lazarus diffusent désormais des logiciels malveillants Linux via de fausses offres d'emploi

Restaurer le contenu de la base de données en payant les pirates est un scénario improbable, car le défi pratique et financier pour l’attaquant de stocker les données de tant de bases de données est irréalisable.

Au lieu de cela, les acteurs de la menace suppriment simplement le contenu de la base de données non protégée et laissent une note de rançon, en espérant que la victime croira leurs affirmations. Jusqu’à présent, l’une des adresses de portefeuille Bitcoin vues dans les notes de rançon a reçu un paiement.

Cependant, pour les propriétaires de données, s’ils n’effectuent pas de sauvegardes régulières, tout perdre à la suite d’un tel effacement est plus que susceptible d’entraîner des dommages financiers importants.

Certaines de ces bases de données prennent en charge les services en ligne, il y a donc toujours un risque d’interruption des activités qui pourrait coûter beaucoup plus que le petit montant exigé par les escrocs.

De plus, les organisations ne doivent jamais exclure la possibilité que les intrus volent les données pour les monétiser de diverses manières.

Sécurité Elasticsearch

Sécurité Elasticsearch

Malheureusement, tant que les bases de données seront exposées sur la face publique d’Internet sans les sécuriser correctement, ces attaques opportunistes continueront de les cibler.

Un rapport récent de Group-IB montre que plus de 100 000 instances Elasticsearch ont été trouvées exposées sur le Web en 2021, ce qui représente environ 30 % d’un total de 308 000 bases de données exposées en 2021.

Selon le même rapport, il faut en moyenne 170 jours aux administrateurs de base de données pour se rendre compte qu’ils ont fait une erreur de configuration, laissant ainsi beaucoup de temps aux acteurs malveillants pour effectuer des attaques.

A découvrir  Microsoft est poursuivi pour piratage de logiciels libres via GitHub Copilot

Comme le souligne Secureworks, aucune base de données ne devrait être accessible au public à moins qu’elle ne soit essentielle à son rôle. De plus, si un accès à distance est requis, les administrateurs doivent configurer une authentification multifacteur pour les utilisateurs autorisés et limiter l’accès aux seules personnes concernées.

Les organisations qui sous-traitent ces services à des fournisseurs de cloud doivent s’assurer que les politiques de sécurité du fournisseur sont compatibles avec leurs normes et que toutes les données sont correctement protégées.

Comment sécuriser Elasticsearch et Kibana ?

Comment sécuriser Elasticsearch et Kibana ?

Étapes de sécurisation de la Suite Elastic

  • Les préparatifs.
  • Créez des certificats SSL et activez TLS pour Elasticsearch sur node1.
  • Activez TLS pour Kibana sur node1.
  • Activez TLS pour Elasticsearch sur node2.
  • Préparez les utilisateurs Logstash sur le nœud 1.
  • Activez TLS pour Logstash sur node1.
  • Exécutez Filebeat et configurez TLS sur node1.
  • Utilisez Filebeat pour ingérer des données.

Comment exposez-vous Elasticsearch ?

Comment exposez-vous Elasticsearch ?

Vous devez inclure le réseau. hôte : 0.0. 0.0 dans votre recherche élastique. yml afin qu’il écoute sur l’adresse sans bouclage et après cela, si votre serveur d’applications et ES sont tous les deux dans le même VPC, le serveur d’applications pourra se connecter à ES (à condition que vous ayez exposé le port 9200 dans le groupe de sécurité (en cas d’AWS).

Comment accéder à la base de données Elasticsearch ? Il existe deux façons de se connecter à votre cluster Elasticsearch : via l’API RESTful ou via le client de transport Java. Les deux méthodes utilisent une URL de point de terminaison qui inclut un port, comme https://ec47fc4d2c53414e1307e85726d4b9bb.us-east-1.aws.found.io:9243 .

Est-il sûr d’exposer Elasticsearch ?

Même avec la sécurité activée, n’exposez jamais Elasticsearch au trafic Internet public. L’utilisation d’une application pour nettoyer les requêtes vers Elasticsearch présente toujours des risques, comme un utilisateur malveillant écrivant des requêtes _search qui pourraient submerger un cluster Elasticsearch et le faire tomber.

A découvrir  Microsoft corrige le bug à l'origine des blocages et des problèmes de bureau de Windows 10

Elasticsearch est-il sécurisé ?

Elasticsearch est-il sécurisé ?

Les fonctionnalités de base d’Elasticsearch Security sont gratuites et incluent de nombreuses fonctionnalités pour vous aider à empêcher tout accès non autorisé, à préserver l’intégrité des données en chiffrant la communication entre les nœuds et à conserver une piste d’audit sur qui a fait quoi sur votre pile et avec les données qu’elle stocke.

Est-il sûr d’exposer Elasticsearch ? Même avec la sécurité activée, n’exposez jamais Elasticsearch au trafic Internet public. L’utilisation d’une application pour nettoyer les requêtes vers Elasticsearch présente toujours des risques, comme un utilisateur malveillant écrivant des requêtes _search qui pourraient submerger un cluster Elasticsearch et le faire tomber.

La sécurité Elastic est-elle gratuite ?

Nous sommes ravis d’annoncer que les principales fonctionnalités de sécurité de la Suite Elastic sont désormais gratuites. Cela signifie que les utilisateurs peuvent désormais chiffrer le trafic réseau, créer et gérer des utilisateurs, définir des rôles qui protègent l’accès au niveau de l’index et du cluster, et sécuriser entièrement Kibana avec Spaces.

Les données Elasticsearch sont-elles chiffrées au repos ?

Amazon Elasticsearch Service prend désormais en charge le chiffrement des données au repos et le chiffrement nœud à nœud sur les domaines existants, permettant aux organisations hébergeant des charges de travail sensibles de répondre aux exigences strictes de sécurité et de conformité.

La pile Elk est-elle sécurisée ?

Avec le chiffrement SSL/TLS, vous pouvez sécuriser le trafic nœud à nœud, HTTP et transporter le trafic client sur votre Suite Elastic. Le filtrage IP empêche également les hôtes non approuvés de rejoindre ou de communiquer avec votre cluster.

Vues 251

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.