به گزارش شرکت مهندسی شبکه گستر، محققان شرکت Duo Security از انتشار باج افزاری خبر داده اند که پس از هک نمودن سرورهایی که بر روی آنها پایگاه داده Redis راه اندازی شده اقدام به حذف نمودن فایل های بااهمیت این سرورها می کند.
گرداننده یا گردانندگان این باج افزار، با بهره گیری از تنظیمات پیش فرض Redis کلید Root SSH سرور را با کلیدی با عنوان crackit جایگزین کرده و کنترل سرور Web را در دست می گیرند. در ادامه آنها با دسترسی بدست آمده اقدام به حذف پوشه هایی همچون root/ که حاوی فایل های سایت میزبانی شده بر روی سرور هستند می کنند.
Redis، یک نرم افزار کد باز ساختمان داده است که می توان از آن بعنوان یک پایگاه داده، Cache و یا کارگزار پیام (Message Broker) استفاده کرد. توسعه دهندگان آن هشدار داده اند که Redis برای استفاده توسط درخواست کنندگان مورد اعتماد و تنها در بسترهای امن سازمان طراحی شده و استفاده آن در بستر اینترنت را ناامن دانسته اند.
با این حال، Duo Security گزارش داده که 18 هزار سرور Redis قابل دسترس بر روی اینترنت وجود دارد. وجود کلید crackit نیز از هک شدن 13 هزارتای آنها توسط گرداننده یا گردانندگان این باج افزار حکایت دارد.
محققان Duo Security برای بررسی این حمله اقدام به راه اندازی یک سرور Honeypot و نصب Redis بر روی آن نموده و پس از هک شدن سرور توسط مهاجمان، فرامین اجرا شده آنها بر روی سرور را صد کردند. هدف تمامی فرامین رصد شده فقط حذف فایل ها و ایجاد فایلی حاوی دستورالعمل پرداخت باج اعلام شده است.
در این فایل اشاره می شود که فایل ها رمزنگاری شده و به یک سرور از راه دور ارسال شده اند. در حالی که بر اساس بررسی انجام شده توسط محققان Duo Security فایلی به این مهاجمان ارسال نشده و هدف آنها فقط اخاذی از کاربر بابت برگرداندن فایل هایی است که دیگر وجود ندارند.
این باج افزار توسط برخی منابع FairWare نامگذاری شده است.