17.01.2017 11:24

Erpressung ist (immer noch) in!

Das neue Jahr bringt sicherlich wieder viele technische Neuerungen und (potentiell unsägliche) Trends mit sich. Eines bleibt leider unverändert: Erpressung ist in.

Neben DDoS-Drohungen und Ransomware in allen Farben, Formen und Ausprägungen ist in letzter Zeit vermehrt das eingetreten, wovor Experten bereits lange gewarnt haben: Kriminelle haben eine enorme Anzahl an über das Internet erreichbaren, ungesicherten Datenbanksystemen (z.B. Elasticsearch, MongoDB) missbraucht und in (digitale) Geiselhaft genommen.

Das Prinzip ist, in leicht veränderter Form, altbekannt: Die in der Datenbank gespeicherten Daten werden gelöscht, und die hinterlassene Notiz instruiert den Besitzer, eine bestimmte Menge an Bitcoin (oder irgendeiner anderen Kryptowährung) zu bezahlen, um seine Daten zurückzubekommen. Es gibt jedoch einen essentiellen Unterschied.

Ransomware bringt den Tätern zum Teil deshalb so hohe Profite, weil die 'Kundenbetreuung' vergleichsweise gut funktioniert (oftmals sogar besser, als bei legitimen Technikunternehmen), und eine realistische Chance besteht, dass das Opfer seine Daten zurückbekommt. Bei den bisher gesehenen Erpressungsfällen mit offenen Datenbankinstanzen ist dies nicht der Fall. Es handelt sich, bisher, nicht um koordinierte Kampagnen, sondern eher um opportunistische Täter(gruppen).

Mit den heute verfügbaren Bandbreiten ist ein Scan über das ganze Internet kein Problem mehr, und vorgefertigte Skripte, mit denen sich eine Datenbank leerräumen lässt, sind frei im Netz verfügbar. Relativ kurz nach den ersten Vorfällen dieser Art sind bereits verschiedenste Nachahmer aufgetaucht, die sich nun gegenseitig ihre Lösegeldforderungen überschreiben.

Die Chance, dass man seine Daten wiedersieht, ist also ziemlich gering. Jedes Opfer, das daran denkt, die geforderte Summe zu zahlen, sollte sich auf jeden Fall beweisen lassen, dass die Daten wirklich im Besitz des Erpressers sind.

Dennoch konnten die Täter, laut Medienberichten, bereits über 20.000 Euro mit diesen Angriffen verdienen. Was kann man also tun, um sich gegen derlei Angriffe zu schützen?

  • Im Idealfall ist die Software nur in einem lokalen, nicht gerouteten Netz erreichbar
  • Sollte ein Zugriff über das Internet notwendig sein: Zugriffskontrollen einrichten, sei es nun durch eine Firewall oder durch ACLs innerhalb der Software; idealerweise die Verbindung durch einen VPN-Tunnel schützen
  • Regelmässige Sicherungskopien seiner Daten anlegen; dabei nicht vergessen auch den Wiederherstellungsprozess zu testen
Softwarespezifische Tipps sind bei den jeweiligen Herstellern verfügbar, zum Beispiel Elastic oder MongoDB. Im Sinne der Sicherheit seiner Daten ist es im Interesse jedes Administrators, hier jetzt zu handeln.

Autor: Alexander Riepl