Ransomware-Attacke auf Linux-Software Redis


Die Linux-Software Redis ist eine weit verbreitete In-Memory-Datenbank mit einer Open-Source-Lizenz, die ihre Daten sowohl in den Arbeitsspeicher kopiert, als auch auf der Festplatte vorhält. Seit einigen Tagen werden die Webinstallationen von Redis gezielt von einer neuen Ransomware attackiert. Sie löscht sämtliche Dateien im Webordner des Servers und hinterlässt eine READ_ME.txt im root-Verzeichnis, in der behauptet wird, dass Ransomware namens FairWare die Files vor dem Löschvorgang verschlüsselt und dann auf einen anderen Server kopiert habe. Um sie zurückzubekommen, soll der Besitzer des Servers zwei Bitcoins zahlen, was derzeit etwa 1.250 Euro entspricht.

Die Sicherheitsfirma Duo ging der Sache nach und beschreibt in einem Blog-Beitrag, was mit den Servern tatsächlich passiert. Der Grund, warum es der Hacker ausgerechnet auf Redis abgesehen hat, war schnell gefunden: Die Datenbank ist für den Einsatz in geschützten Umgebungen konzipiert, wie der Entwickler auf der Redis-Website erklärt. Er rät dringend davon ab, Redis direkt mit dem Internet zu verbinden. Trotzdem haben das offensichtlich viele Web-Administratoren getan – die Spezialisten von Duo fanden über eine Shodan-Abfrage mehr als 18.000 Redis-Instanzen im Netz. Die überwiegende Mehrheit davon arbeitete mit einer veralteten Version der Software.

Um die Attacke nachvollziehen zu können, baute Duo einen Honeypot auf. Bereits nach wenigen Stunden bemerkten die Analysten einen Angriff, bei dem ein SSH-Schlüssel auf dem Redis-Server gespeichert und dessen Konfiguration verändert wurde. Kurz darauf wurden in einer zweiten Attacke die Daten des Webservers gelöscht und die TXT-Datei hinterlassen.

Rückgabe nie geplant

Keines der Kommandos, welche die Kriminellen auf dem Honeypot ausführten, ließ den Schluss zu, dass die Daten des Webservers an eine andere Stelle kopiert oder verschlüsselt worden wären. Der Ordner wurde einfach nur komplett geleert. Es handelt sich bei FairWare also um eine Fake-Ransomware, auch nach Bezahlen des Lösegelds werden die Daten nicht wiederhergestellt. Es gibt zudem Hinweise darauf, dass die Software weitgehend automatisiert ist und sich ihre Redis-Ziele im Internet selbstständig sucht. Eine Rückgabe der Daten war offenbar nie geplant.

Was können Administratoren tun? Wie immer bei Ransomware ist der beste Schutz ein möglichst aktuelles Backup. Zudem sollten sie dem Rat des Entwicklers folgen und Redis nicht vom Internet aus erreichbar machen. Falls es jedoch tatsächlich einmal keine andere Lösung geben sollte, empfiehlt Duo drei Maßnahmen:

  • Redis sollte immer auf dem neuesten Stand gehalten werden. Aktuell ist die Version 3.2.3, die einen Protected Mode anbietet. Damit lässt sich unter anderem die Einrichtung einer unsicheren Konfiguration verhindern.
  • Redis erlaubt dein AUTH-Passworts für sämtliche Verbindungen zu seinem Server. Dieses Passwort sollte nach den bekannten Regeln ausreichend komplex sein, um auch Brute-Force-Attacken zu widerstehen.
  • Ein besonderer Schwachpunkt von Redis ist der von außen erreichbare Befehl CONFIG. Er sollte entweder umbenannt oder, besser noch, deaktiviert werden.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content