В конце декабря 2016 года исследователь Виктор Геверс (Victor Gevers), сооснователь GDI Foundation, заметил, что у пользователей MongoDB возникли проблемы. Первая атака, зафиксированная Геверсом, была проста: злоумышленник, скрывающийся под псевдонимом Harak1r1 , нашел плохо защищенную установку MongoDB, удалил весь контент из базы и заменил его на сообщение с требованием выкупа в размере 0,2 биткоина.

И хотя первый инцидент выглядел как единичный случай, вскоре атаку взяли на вооружение и другие хакеры. Число скомпрометированных MongoDB растет с огромной скоростью, и ИБ-эксперты уже бьют тревогу. Так, согласно данным еще одного специалиста, Найла Мерригана (Niall Merrigan), число «захваченных в заложники» баз превысило 10 000 еще 6 января 2017 года. Тогда Мерриган писал, что мошенническую схему взяли на вооружение три хакерские группы.

По информации MacKeeper, одна из взломанных баз принадлежит сети медицинских учреждений Emory Healthcare и содержит данные 200 000 пациентов, которые могли быть скомпрометированы в процессе.

В настоящий момент ситуация заметно ухудшилась. Судя по всему, теперь охоту на незащищенные MongoDB открыли уже двенадцать (или более) хакерских групп. Злоумышленники требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина, и анализ биткоин-кошельков хакеров показывает, что заплатить согласились уже десятки компаний. При этом Виктор Геверс предупреждает, что платить выкуп, скорее всего, бесполезно, так как злоумышленники попросту не копируют содержимое баз, а значит, не смогут вернуть его законным владельцам. Логи наглядно демонстрируют, что хакеры соединяются с серверами жертв несколько раз, но соединение длится 5-500 мс, чего явно недостаточно для копирования контента.

Группировки, атакующие MongoDB

Согласно свежей статистике от Найла Мерригана, сегодня насчитывается уже более 27 000 скомпрометированных серверов с MongoDB, то есть их число выросло более чем в два раза за последние двенадцать часов (еще утром 9 января насчитывалось лишь 12 000 взломанных установок).

Эксперты отдельно подчеркивают, что речи о какой-либо уязвимости в MongoDB не идет. Хакеры атакуют неправильно настроенные MongoDB, так как зачастую администраторы не утруждают себя конфигурированием и оставляют СУБД работать с настройками по умолчанию. По данным Геверса, который использовал для поиска уязвимых установок Zoomeye и Shodan, более 99 000 MongoDB-серверов настроены неверно и могут представлять интерес для злоумышленников.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии