В конце декабря 2016 года исследователь Виктор Геверс (Victor Gevers), сооснователь GDI Foundation, заметил, что у пользователей MongoDB возникли проблемы. Первая атака, зафиксированная Геверсом, была проста: злоумышленник, скрывающийся под псевдонимом Harak1r1 , нашел плохо защищенную установку MongoDB, удалил весь контент из базы и заменил его на сообщение с требованием выкупа в размере 0,2 биткоина.
Open MongoDB = Money 4 bad ppl.
SEND 0.2 BTC TO THIS ADDRESS AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE ! pic.twitter.com/gS4TxS7S09— Victor Gevers (@0xDUDE) December 27, 2016
И хотя первый инцидент выглядел как единичный случай, вскоре атаку взяли на вооружение и другие хакеры. Число скомпрометированных MongoDB растет с огромной скоростью, и ИБ-эксперты уже бьют тревогу. Так, согласно данным еще одного специалиста, Найла Мерригана (Niall Merrigan), число «захваченных в заложники» баз превысило 10 000 еще 6 января 2017 года. Тогда Мерриган писал, что мошенническую схему взяли на вооружение три хакерские группы.
Latest numbers from my latest download @shodanhq for #MongoDB compromised servers .. might see if I can set this up as a regular job pic.twitter.com/qnr3tlVRUb
— Niall Merrigan (@nmerrigan) January 6, 2017
По информации MacKeeper, одна из взломанных баз принадлежит сети медицинских учреждений Emory Healthcare и содержит данные 200 000 пациентов, которые могли быть скомпрометированы в процессе.
В настоящий момент ситуация заметно ухудшилась. Судя по всему, теперь охоту на незащищенные MongoDB открыли уже двенадцать (или более) хакерских групп. Злоумышленники требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина, и анализ биткоин-кошельков хакеров показывает, что заплатить согласились уже десятки компаний. При этом Виктор Геверс предупреждает, что платить выкуп, скорее всего, бесполезно, так как злоумышленники попросту не копируют содержимое баз, а значит, не смогут вернуть его законным владельцам. Логи наглядно демонстрируют, что хакеры соединяются с серверами жертв несколько раз, но соединение длится 5-500 мс, чего явно недостаточно для копирования контента.
Согласно свежей статистике от Найла Мерригана, сегодня насчитывается уже более 27 000 скомпрометированных серверов с MongoDB, то есть их число выросло более чем в два раза за последние двенадцать часов (еще утром 9 января насчитывалось лишь 12 000 взломанных установок).
Latest #Mongodb ransack looks like ~27K servers compromised from 12K this morning.. Numbers and info https://t.co/wLF96DLUBQ with @0xDUDE
— Niall Merrigan (@nmerrigan) January 8, 2017
Эксперты отдельно подчеркивают, что речи о какой-либо уязвимости в MongoDB не идет. Хакеры атакуют неправильно настроенные MongoDB, так как зачастую администраторы не утруждают себя конфигурированием и оставляют СУБД работать с настройками по умолчанию. По данным Геверса, который использовал для поиска уязвимых установок Zoomeye и Shodan, более 99 000 MongoDB-серверов настроены неверно и могут представлять интерес для злоумышленников.
