Fairware Ransomware通过暴露的Redis实例感染服务器

报告后的几天内，新的赎金软件攻击正在删除Web服务器的文件，安全研究人员通过Redis数据库的不安全部署确定了一些受影响的服务器被黑客攻击。

在过去一周，报告突破了关于Web服务器的支持论坛，这些论坛通过擦除干净和托管赎金说明，通过该攻击者提供返回删除的文件以换取两个比特币（约1,150美元）。来自技术支持论坛的专家BleepingComputer.com被称为新的威胁Fairware。

周三，安全公司Duo安全的研究人员报告了对托管公开访问的Redis数据库的服务器类似的攻击。

攻击者利用了逐默认的redis配置来替换服务器的根SSH键并占用。然后，它们使用新获得的访问删除了多个目录，包括存储网站的根Web目录，其中留下了赎金笔记。

Redis是一个开源内存中的数据结构存储，可用作数据库，缓存和消息代理。它的开发人员警告说，“Redis旨在通过可信环境中的可信客户端访问”，“通常它不是一个好主意直接将redis实例暴露给互联网。”

此警告Hasn“T停止Web Server管理员将大约18,000个Redis Installations直接曝光到Internet，因此将Web服务器置于风险中。根据Duo安全研究人员的说法，这款13千万这些Redis安装显示受此新伪赎金软件攻击的影响。

更准确地说，Duo Scans透露，大约13,000个Redis数据库的记录称为“Crackit”，其中包含一个公共SSH键作为关联值。通过修改Redis配置，攻击者欺骗了软件以替换服务器上root帐户的SSH身份验证密钥。

尽管攻击者在赎金中索赔说明文件已经加密，但这很可能不是真的。Duo安全研究人员使用不安全的Redis部署设置了一个蜜罐服务器，并等待被攻击。

然后，它们会监视与Rogue SSH键连接后在服务器上执行的命令攻击者。所有观察到的命令都是删除各个目录并生成赎金票据。

“该说明表明文件已经加密并发送到远程服务器，但我们没有看到这种情况的迹象，”研究人员在博客帖子中说。“这次袭击依靠恐惧来试图让人们支付不再存在的文件。”

Duo研究人员观察到的赎金笔记与初始Fairware报告不同。然而，BleepingComputer.com创始人劳伦斯亚伯拉姆能够确认Redis安装在几个Fairware受害者的服务器上，并且数据存储中存在相同的“Clastit”密钥。