С декабря 2016 года вымогатели атакуют плохо настроенные серверы MongoDB. Первый инцидент, замеченный исследователем Виктором Геверсом (Victor Gevers), выглядел как единичный случай, но совсем скоро атаку взяли на вооружение и другие хакеры. Теперь вымогательским «бизнесом» занимаются уже более двух десятков группировок.
Действуют злоумышленники просто: получают доступ к незащищенной БД, стирают все данные и требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина за восстановление информации.
Но количество неправильно настроенных установок MongoDB не бесконечно (таковых насчитывается от 50 000 до 100 000, по данным Shodan и ZoomEye, соответственно). Злоумышленники быстро начали расширять поле деятельности и уже в середине января 2017 года обратили внимание на поисковый движок Elasticsearch. Тогда основатель Shodan Джон Мазерли (John Matherly) писал, что более 35 000 серверов Elasticsearch (в основном Amazon Web Services) открыты для всего интернета и могут стать жертвами шантажистов.
Некоторых злоумышленники даже пытаются извлечь дополнительный доход из данной ситуации и продают скрипты для компрометации чужих БД.
Kraken0 is actively trying to sell their ransomware kit for open MongoDBs (34.503 victims) & Elasticsearch (4,607 victims) worldwide. pic.twitter.com/VThCCNPkqd
— Victor Gevers (@0xDUDE) January 18, 2017
Теперь специалисты Fidelis Cybersecurity предупредили, что потенциальными жертвами вымогателей также могут стать плохо защищенные установки CouchDB и Hadoop Distributed File System (HDFS). По данным исследователя Найла Мерригана (Niall Merrigan), который следит за ситуацией с самого начала, хакеры уже скомпрометировали 126 установок Hadoop и начали ломать CouchDB. Эксперты пишут, что суммарно в мире насчитывается от 8000 до 10 000 неверно настроенных HDFS, так что атакующим есть где развернуться.
Latest #Elastic ransom 4681, #Hadoop vandalism 126, #CouchDb ransom is at 3 but waiting to update pic.twitter.com/PO23FyQnnj
— Niall Merrigan (@nmerrigan) January 19, 2017
Хуже того, эксперты Fidelis Cybersecurity предупреждают, что атакующие действуют все жестче. Хакеры чаще и чаще попросту стирают все данные из уязвимых БД, даже не заботясь о выкупе. Так, исследователи приводят скриншот пострадавшего сайта, на котором злоумышленники оставили лаконичное сообщение:
Фото: Depositphotos
