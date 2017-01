De afgelopen weken worden er aanvallen uitgevoerd op MongoDB-installaties. De databases worden gekopieerd en verwijderd. Slachtoffers krijgen een boodschap te zien dat ze BTC moeten overmaken naar een wallet om de database terug te krijgen. Vrijwel geen enkel slachtoffer dat overging op betaling, kreeg de data terug.

Kapen van de kaping

Vorig jaar groeide ransomware ontzettend groot en ontstond er een hele discussie of slachtoffers moesten betalen om data te ontsleutelen, of door een back-upprocedure (als die er al was) moesten met het risico simpelweg opnieuw geïnfecteerd te worden. Een jaar geleden leek het er nog op dat betaling een reële optie was, omdat je daarmee data terugkreeg. (Hoewel er veel redenen zijn om het niet te doen.) Dat lijkt nu niet meer het geval te zijn.

Veel betalingen gaan niet eens naar de criminelen die de database in eerste instantie kapen. Een aanvaller steelt de data, wist de database en laat een losgeldbericht achter. Een andere aanvaller op hetzelfde gat vervangt dat bericht voor zijn of haar eigen. Op dat moment is betaling zinloos, want je betaalt iemand die je database niet eens heeft.

Betalen als optie

In de discussie over voors en tegens van betaling, is de grootste reden om niet te betalen omdat je anders slecht gedrag beloont, waardoor andere criminelen mee gaan doen en het probleem groter wordt. Verder is er de zorg dat je investeert in een criminele economie, waarbij het losgeld wordt ingezet om andere criminele activiteiten te ontplooien.

Maar voor organisaties die voor een volledige netwerkisolatie, wissen van systemen en herstellen van back-ups staan, is het aanlokkelijk om te hopen dat de crimineel eervol genoeg is om een sleutel te overhandigen. Misschien is er druk van bovenaf om de situatie snel te verhelpen of misschien ontbreekt er een goede back-up - er zijn praktische redenen om hiervoor te kiezen en het verklaart waarom zoveel bedrijven - en zelfs overheidsinstanties - zijn overgegaan op betaling.

Niet te vertrouwen

Het is erg contra-intuïtief om uit te gaan van een slechterik die zich aan zijn woord houdt, maar eventjes leek het een redelijke actie toen veel ransomwarebendes moeite staken in het behouden van een reputatie dat een slachtoffer na betaling van het probleem verlost was. Het zorgt er immers voor dat de betalingsbereidheid bij toekomstige slachtoffers hoger ligt, omdat ze weten dat je de data dan terugkrijgt.

Maar nu meer bendes zich op softwaregijzeling richten, verschuift de aandacht meer op het innen van losgeld en minder op het zeker maken dat een slachtoffer zijn of haar bestanden kan herstellen. Aan de KillDisk-malware is bijvoorbeeld ook een gijzelingsmodule toegevoegd, maar aanvallers worden niet uitgerust met de optie om een sleutel voor decryptie aan te bieden nadat het losgeld is betaald.

De malware bewaart de encryptiesleutel namelijk niet - niet lokaal en niet op een server - waardoor het onmogelijk is voor slachtoffers om de data terug te halen, zelfs als ze de 222 BTC (ongeveer 171.000 euro) betalen. En ransomware als Nemucod claimt de bestanden te versleutelen met RSA-1024, maar gebruikt een simpel XOR-cijfer. Je kunt ransomware duidelijk niet vertrouwen.

Fluks beveiligen waar nodig

IT-admins die de controle over hun MongoDB-database nog wel hebben, kunnen de volgende acties uitvoeren om dat zo te houden:

Blokkeer poort 27017 of beperk de toegang tot enkel lokale verbindingen met bind_ip.

Schakel authenticatie in om iedereen die de database probeert aan te spreken naar legitieme credentials te vragen.

Controleer of er heimelijk admin-accounts zijn toegevoegd aan de database.

Kijk in de logbestanden om te zien of er ongeautoriseerde toegang is geweest.

De Nederlandse onderzoekers Victor Gevers en Vincent Toms van de GDI.foundation maakten eerst gewag van de kwetsbaarheid en hielpen gebruikers de gaten te dichten. IT-architect Niall Merrigan van Capgemeni heeft met Gevers samengewerkt aan recovery en ze houden de aanvallers in de gaten. Eén detail dat ze is opgevallen: slechts tien procent van de slachtoffers had een recente back-up.

Groter issue dan MongoDB

Het probleem is natuurlijk niet beperkt tot MongoDB. Aanvallers gaan voor andere clouddiensten en databases - dat is zelfs inmiddels al gebeurd - dus zorg ervoor dat MySQL-databases en AWS-accounts ook goed vergrendeld zijn. Via Shodan vind je zo een blootgesteld systeem en aanvallers gaan tegenwoordig bijna altijd over op losgeldeisen. We kunnen verwachten dat we dit de komende weken op andere platforms gaan zien.

Kern van de zaak: beveilig systemen en diensten, maak een back-up en recovery-plan, dump de inhoud van de database als er geen tijd is om een goede backupstrategie uit te rollen. Het is beter om een plan van aanpak te hebben wanneer aanvallers bij jouw systemen komen.