El nuevo ransomware FairWare infecta a servidores con instancias Redis

Hace unos días se informaba de la detección de un nuevo ataque de ransomware que estaba borrando ficheros de servidores web. Así lo determinaron algunos ingenieros de compañías de seguridad que veían como algunos de los servidores afectados fueron hackeados a través del despliegue inseguro de la base de datos Redis.

Los foros de soporte no tardaron en comentar el hecho de que los atacantes colgaran una nota informativa sobre cómo procederían a limpiar los servidores web siempre que se procediera al pago de 2 bitcoins (cerca de 1.150 dólares), una vez más con prácticas de ransomware.

El miércoles, investigadores de la firma Duo Security informaron de un ataque similar contra servidores que alojan las bases de datos de acceso público Redis. Los atacantes se aprovecharon de configuraciones inseguras que seguían utilizando los valores por defecto para reemplazar la clave raíz SSH del servidor y apoderarse de ella. A continuación, utilizaron el acceso recién adquirido para eliminar varios directorios, incluyendo el directorio raíz web donde se almacenan las páginas web, dejando la nota con el rescate.

Como muchos sabrán, Redis es un motor de bases de datos en memoria que también puede ser utilizado como una base de datos persistente. Está escrito en código abierto ANSI C. Este tipo de bases de datos es muy utilizado en organizaciones por su alto rendimiento, muy superior si se compara al motor de otras bases de datos. Sus desarrolladores advierten que Redis está diseñado para ser visitada por los clientes de confianza, y no es una buena idea exponer la instancia directamente en Internet. Esta advertencia no ha podido evitar exponer 18.000 instalaciones directamente en la red, poniendo en riesgo los servidores web. Cerca de 13.000 de esas instalaciones Redis muestran signos de haberse visto afectadas por este nuevo ataque asociado también al ransomware

Con la modificación de la configuración Redis, los atacantes engañaron al software para reemplazar la clave de autenticación SSH de la cuenta root del servidor. Los investigadores de la firma Duo Security observaron que la nota adjunta sugiere que los archivos habrían sido cifrados y enviados a un servidor remoto, pero no hay indicios de que esto haya ocurrido. Es una práctica habitual del ransomware, el tratar de meter presión generando miedo a perder todos los archivos para siempre aunque realmente no lo hayan conseguido.

Ver información original al respecto en Fuente:
http://cso.computerworld.es/alertas/el-ransomware-fairware-infecta-a-servidores-con-instancias-redis