Hadoop เริ่มตกเป็นเหยื่อของการโจมตีเรียกค่าไถ่ ผู้ใช้งานควรติดตั้งอย่างปลอดภัย

นักวิจัยด้านความปลอดภัยจากหลากหลายแห่งเริ่มตรวจพบสัญญาณเตือนว่า Apache Hadoop นั้นกำลังจะตกเป็นเหยื่อของการโจมตีเรียกค่าไถ่ในลักษณะที่คล้ายคลึงกับ Ransomware และเตือนให้เหล่าองค์กรต่างๆ ทำการตั้งค่า Apache Hadoop อย่างปลอดภัย

หลังจากที่ก่อนหน้านี้มีข่าวคราวของ MongoDB และ Elasticsearch ที่ถูกติดตั้งใช้งานอย่างไม่ปลอดภัยตกเป็นเหยื่อของการโจมตีเพื่อลบข้อมูลทิ้งทั้งหมดและเรียกค่าไถ่เพื่อนำข้อมูลเหล่านั้นกลับคืนมา เหล่านักวิจัยด้านความปลอดภัยก็เริ่มตรวจพบพฤติกรรมการ Scan หา Apache Hadoop บน Public Internet กันมากขึ้นเรื่อยๆ แล้วในตอนนี้

Fidelis Cybersecurity นั้นเริ่มตรวจพบการโจมตีลักษณะนี้และมีผู้ตกเป็นเหยื่อบ้างแล้วในบริการ Platform-as-a-Service ของผู้ให้บริการ Cloud ที่ไม่ได้ทำการตั้งค่าอย่างปลอดภัย และใช้การติดตั้งและตั้งค่าแบบ Default นั่นเอง

นอกจากนี้ทาง Fidelis ก็ยังตรวจเจอการโจมตีที่ไม่ได้เรียกค่าไถ่ แต่ลบข้อมูลทั้งหมดทิ้ง พร้อมตั้งชื่อ Folder ใหม่ว่า /NODATA4U_SECUREYOURSHIT เพื่อให้เจ้าของระบบทำการตั้งค่าให้ปลอดภัยนั่นเอง (แต่ข้อมูลหายหมดแล้ว)

ทางด้านรายงาน Internet Storm Center จาก SANS เองก็สนับสนุนประเด็นนี้เช่นกัน โดยในรายงานมีการตรวจพบการ Scan Port 50070 ซึ่งเป็น Default Port ของ Hadoop namenode เพื่อใช้ในการค้นหา Hadoop Distributed File System ที่อยู่บน Public Internet นั่นเอง

ส่วน 360 Netlab ของทาง Qihoo ก็ตรวจพบการ Scan ในลักษณะเดียวกันเช่นกันจาก IP Address เพียง 2 เบอร์ในประเทศจีน แต่ก็ยังสรุปไม่ได้ชัดเจนว่าการโจมตีนี้เกิดจากฝีมือ Hacker ชาวจีนหรือไม่จากหลักฐานเพียงแค่ IP Address เท่านั้น

ดังนั้นใครที่ใช้งาน Hadoop ก็ไปตั้งค่ากันให้ปลอดภัยด้วยนะครับ

ที่มา: http://www.theregister.co.uk/2017/01/19/insecure_hadoop_installs_under_attack/