News

Tausende Elasticsearch-Server beherbergen nach Kompromittierung PoS-Malware

Einer Analyse vom Kromtech Security Center zufolge hosten tausende von unsicheren Elasticsearch-Servern Point-of-Sale-Malware. Insgesamt haben die Forscher 15.000 unsichere Elasticsearch-Server gefunden, von denen 27 Prozent (4.000) die PoS-Malware-Stämme Alina und JackPoS beherbergen.

„Die fehlende Authentifikation auf einigen Elasticsearch-Servern ermöglichte es Angreifern, vollständige administrative Kontrolle über die ungeschützten Instanzen zu übernehmen“, schrieb Bob Diachenko, Chief Communication Officer bei Kromtech, am Dienstag in einem Blogpost über die Untersuchung.

Unsichere Server, so sagt er, hätten Hackern Tür und Tor für eine ganze Reihe illegaler Aktivitäten geöffnet, wie z.B. den Diebstahl oder die Zerstörung der gespeicherten Daten und die Nutzung der Server zum Verbergen von Command & Control-Servern für PoS-Malware.

Laut Kromtech wurden 99 Prozent der kompromittierten ElasticSearch-Server auf der Plattform Amazon Web Services gehostet. „Jeder infizierte ES-Server wurde Teil eines größeren PoS-Botnets mit Command-and-Control-Funktionalität (C&C) für PoS-Malware-Clients“, schreibt Diachenko.

Die mit Malware infizierten Server wurden im Rahmen der PoS-Kampagnen dazu benutzt, die Kreditkarteninformationen, die von PoS-Terminals, aus dem Arbeitsspeicher oder von infizierten Windows-Maschinen gestohlen wurden, zu verschlüsseln und weiterzuleiten.

Auf den Servern wurden die Schadprogramme Alina and JackPoS gefunden, PoS-Malware, die versucht, Kreditkarteninformationen von Computerspeichern abzugreifen.

Einer Analyse von PoS-Malware zufolge, die Arbor Networks im Jahr 2014 veröffentlicht hat, wurde der Schädling Alina bereits im März 2012 entwickelt.

Kromtech hat nach eigenen Angaben neue Samples der Schädlingsfamilien Alina und JackPoS gefunden, wobei die Detektionsraten der meisten gängigen Antiviren-Engines gering gewesen seien.

„Selbst über die relativ alten C&C-Server gibt es nicht ausreichend Informationen und der URL-Scanner von VirusTotal erkennt die meisten von ihnen nicht“, sagen die Forscher.

Dass ElasticSearch, Amazon Web Services und MongoDB-Datenbanken mitunter unsicher sind, ist nichts Neues. Im Laufe der letzten 12 Monate gab es zahlreiche Fälle, in denen Daten auf den Cloud-basierten Servern entweder zerstört oder zu Erpressungszwecken gekidnappt wurde, oder in denen sensible Informationen abgeflossen sind.

Im Januar wurden laut Sicherheitsforscher Niall Merrigan 360 ElasticSearch-Instanzen gelöscht. Zu der Zeit schätzte Shodan-Gründer John Matherly, dass 35.000 AWS-ElasticSearch-Server nicht korrekt konfiguriert und dem Internet schutzlos ausgesetzt waren.

Ungefähr zur selben Zeit, im Januar dieses Jahres, registrierte Merrigan zudem eine deutliche Zunahme von MongoDB-Datenbanken, die gekapert und gegen Zahlung eines Lösegeldes den Besitzern wieder zum Rückkauf angeboten wurden: 28.000.

Falsch konfigurierte AWS S3-Speicher sind ebenfalls wegen einer Zunahme von undichten Servern ins Gespräch gekommen.

Im Juli stellten Sicherheitsexperten fest, dass zwischen 6 und 14 Millionen Verizon-Kunden einem ungeschützten Server ausgeliefert waren, der einem Partner des Telekommunikationsunternehmens gehört. Eine Woche vorher hatte der Wrestling-Giant World Wide Entertainment versehentlich die Daten von fast drei Millionen Fans preisgegeben. In jüngerer Vergangenheit, am 5. September, wurden vier Millionen Datensätze von Time Warner Cable ungeschützt auf einem falsch konfigurierten AWS S3 gefunden.

Source: Threatpost

Tausende Elasticsearch-Server beherbergen nach Kompromittierung PoS-Malware

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach