Начиная с декабря 2016 года администраторам неправильно настроенных серверов MongoDB, Elasticsearch, CouchDB и Hadoop Distributed File System (HDFS) приходится несладко. Хакеры обнаружили, что компрометация таких установок – отличный способ «заработка», и в настоящий момент таким «бизнесом» занимаются уже несколько десятков группировок. Действуют злоумышленники просто: получают доступ к незащищенной БД, стирают все данные и требуют от своих жертв выкупы в размере от 0,2 до 1 биткоина за восстановление информации. Причем платить зачастую бесполезно, так как на самом деле хакеры не утруждают себя сохранением данных и просто их уничтожают.
Исследователь Виктор Геверс (Victor Gevers), который еще в декабре обнаружил первый инцидент такого рода, продолжает следить за развитием ситуации и сообщает, что в настоящее время статистика компрометаций такова:
- MongoDB – 40 291 сервер;
- ElasticSearch – 5 044 сервера;
- Apache Hadoop – 186 серверов;
- Apache CouchDB – 452 сервера.
Someone is warning unaware unprotected Cassandra database (https://t.co/2UcEiraM5l) owners by creating an empty "your_db_is_not_secure" db. pic.twitter.com/XDfvSPjeno
— Victor Gevers (@0xDUDE) January 24, 2017
24 января 2017 года Геверс сообщил в своем Twitter, что неизвестный хакер также компрометирует плохо защищенные базы данных Cassandra, однако не требует денег от пострадавших и не портит данные. Вместо этого взломщик создает на сервере пустую директорию с именем «your_db_is_not_secure» («Ваша БД не защищена») и более не делает ничего. Геверс пишет, что это скорее похоже на дружеское предупреждение, и сообщает, что такие послания были обнаружены на 49 серверах. Всего, по данным Shoudan, в сети насчитывается более 2 600 плохо настроенных установок Cassandra, так что эти БД вполне могут стать следующей целью злоумышленников.
