Массовые атаки на плохо настроенные серверы MongoDB начались в конце декабря 2016 года, и ситуация продолжает стремительно ухудшаться. Хотя первый инцидент, замеченный исследователем Виктором Геверсом (Victor Gevers), выглядел как единичный случай, вскоре атаку взяли на вооружение и другие хакеры.
Судя по всему, на данный момент охоту на незащищенные установки MongoDB открыли уже более двадцати хакерских групп. Злоумышленники получают доступ к БД, стирают все данные и требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина за восстановление информации. По данным исследователя Найла Мерригана (Niall Merrigan), который следит за ситуацией с самого начала, на сегодняшний день от таких атак пострадали уже более 34 000 серверов. Компании и организации потеряли более 114 Тб данных. Дело в том, что атакующие предпочитают попросту стирать настоящие данные жертв, не желая утруждать себя копированием.
Latest #mongodb numbers circa 34K server . Snapshot via @shodanhq 12-01 09h30 .. Latest details https://t.co/wLF96DLUBQ with @0xDUDE pic.twitter.com/0FIIopBd9B
— Niall Merrigan (@nmerrigan) January 12, 2017
The #mongodb ransom has meant that the amount of data has gone from 386TB to 271.5 in less than 3 days .. or 114.5 TB lost pic.twitter.com/S9ZPaDLglh
— Niall Merrigan (@nmerrigan) January 11, 2017
Издание Bleeping Computer пишет, что одна из наиболее опасных группировок, занимающихся таким шантажом – это хак-группа Kraken. Эти парни обратили свое внимание на MongoDB еще 6 января и с тех пор скомпрометировали более 21 600 жертв, заработав свыше $7 700.
Хотя неправильно сконфигурированных серверов MongoDB насчитывается от 50 000 до 100 000 (по данным Shodan и ZoomEye, соответственно), текущий ажиотаж привлек к проблеме внимание слишком большого числа злоумышленников, и участники группировки Kraken первыми поняли, что пора сменить тактику. Так как достаточно скоро новые жертвы попросту закончатся, хакеры из Kraken пытаются монетизировать сам способ взлома. Группировка разместила на PasteBin объявление о продаже автоматизированного C# скрипта для взлома серверов. За свой инструмент хакеры просят $200 в биткоинах.