怠惰なシステム管理者によって保護されていないデータ サービスに対する繰り返しのランサムウェア攻撃が、現在 Hadoop インスタンスを襲っています。
フィデリス・サイバーセキュリティ社は、ビッグデータの寵児であるHadoopのデフォルトインストールを探し出し、Hadoopインスタンスをコピーして消去し、被害者のデータの返還と引き換えに身代金を要求する攻撃を観察し始めたと考えている。
同社の投稿によると、被害者は多くの場合PaaS(Platform as a Service)ホストを利用しており、ローカル接続だけでは動作できないとのことです。この必須のインターネットアクセスにより、インストールのセキュリティ確保がさらに重要になります。
この投稿では、現在世界中で8,000〜10,000件の感染例があると推定している。
Fidelis の評価を裏付けるのは、SANS Internet Storm Center のデータです。同センターは 1 月初旬に、ポート 50070 (Hadoopnamenodeサービスのデフォルトであり、Hadoop Distributed File System を探す) へのスキャンが急増しているのを確認しました。
Qihooの360 Netlabでも同様の急増が見られ、ほぼすべてのスキャンが中国のたった2つのIPアドレスから行われていたと主張しています。しかし、投稿には次のように記されています。「IPアドレスだけを見て、攻撃者の所在地について早急に結論づけるべきではありません。攻撃者は身元を隠すために世界中のインフラを利用しています。」
Fidelis が観察した攻撃の 1 つでは、攻撃者はユーザーに身代金を要求する機会すら与えませんでした。攻撃者はすべてのディレクトリを削除し、自分のディレクトリだけを残しました/NODATA4U_SECUREYOURSHIT(少なくとも「you're」と綴ってはいませんでした -編集者注)。
フィデリスが撮影した被害者の画面
MongoDBの被害者に起こったように、近い将来、攻撃の規模が増加する可能性が高いでしょう。これらの攻撃から1週間以内に、ネット上の悪質な攻撃者はElasticsearchへと移行しました。®
