Actualités

“Les index résident sur diverses versions d’ElasticSearch et ne nécessitent aucune authentification en lecture ou écriture” : plus de 1 200 bases de données remplacées… par une note de rançon !

Une fois de plus, ElasticSearch se retrouve dans le tourbillon insécuritaire : les chercheurs de l’équipe SecureWorks Counter Threat Unit (CTU) viennent de mettre à nu des bases de données impactées par une ex-filtration de données ; toutes avaient été remplacées (en teneur) par une note de rançon…

 

 

Les index résident sur diverses versions d’Elasticsearch et ne nécessitent aucune authentification pour lire ou écrire. Dans chaque cas, les données conservées dans les bases de données ont été remplacées par une note de rançon stockée dans le champ ‘Message’ d’un index appelé ‘read_me_to_recover_database’. À l’intérieur du champ «e-mail» se trouve une adresse e-mail de contact. Les chercheurs de CTU ont identifié quatre adresses e-mail distinctes utilisées dans cette campagne […] La note exige un paiement Bitcoin en échange des données“, indique le billet sécuritaire tout en soulignant que plus de 1 200 bases de données été ainsi concernées et été sous la coupe de fournisseurs spécialisés dans Cloud Computing.

 

Aucune information sur l’identité des victimes (les chercheurs soulignent que certaines bases de données ont pu faire référence, par lot, à une entreprise) : au total, 450 demandes de rançon ont été diffusées soit un peu plus de 280 000 dollars USD, en teneur monétaire (butin potentiel). En moyenne et en euro, il était demandé (selon cours actuel du Bitcoin, le 7 Juin 2022) 351,41 euros (0,012 BTCs) et il semblent, au final ou pour l’heure du moins, que la campagne de collecte de fonds des cyber-attaquants n’ait pas eu financièrement l’effet escompté bien que certaines bases de données sont ainsi soulignées comme étant peu ou prou protégées. A cela s’ajoute le coût du stockage de ces bases de données ex-filtrées (via ElasticDump) qui, théoriquement, n’a pu être amorti par les fonds demandés (rançons) ce qui suggère (selon les chercheurs) qu’en cas de paiement et à la vue de la rançon peu élevée exigée, les données n’auraient pas été intégralement restituées. Outre les multiples contournements pour éviter un accès distant non-autorisé à une base de données, les chercheurs rappellent de l’intérêt, entre-autres et au-delà d’autres méthodes, de compléter les protections, notamment, avec l’authentification multi-facteur… A veiller !

 

 

 

Source : Blog SecureWorks – 1er Juin 2022 – ElasticSearch : plus de 1 200 bases de données compromises (ex-filtration + remplacement-données par note de rançon d’environ 350 euros).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6