Начиная с декабря 2016 года, а также в первые месяцы 2017 года, злоумышленники массово атаковали плохо настроенные серверы MongoDB. Хакеры попросту стирали из БД информацию и требовали выкуп за возвращение данных (которых у злоумышленников зачастую попросту не было). Первый инцидент такого рода был замечен известным ИБ-исследователем и главой GDI Foundation Виктором Геверсом (Victor Gevers) и выглядел как единичный случай, но вскоре скоро такую тактику взяли на вооружение уже десятки хакерских групп.
Исследователи ведут учет скомпрометированных БД в Google Docs, так что ознакомиться с последними «сводками с полей» может каждый. По данным аналитиков, суммарно злоумышленники взломали более 45 000 баз данных, причем помимо MongoDB их также интересовали серверы ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.
Теперь Геверс и его коллега, ИБ-специалист Дилан Кац (Dylan Katz) предупреждают, что вымогательские атаки, пошедшие на спад весной и летом текущего года, возобновились с новой силой. Специалисты пишут, что на сцене появились сразу три новые хакерские группы, если судить по email -адресам, использованным в вымогательских сообщениях.
Email-адрес | Количество жертв | Размер выкупа | Bitcoin-адрес |
cru3lty@safe-mail.net | 22 449 | 0,2 BTC | Bitcoin-кошелек |
wolsec@secmail.pro | 3516 | 0,05 BTC | Bitcoin-кошелек |
mongodb@tfwno.gf | 839 | 0,15 BTC | Bitcoin-кошелек |
Хотя по сравнению с началом года число атакующих мало, группировки подошли к делу с размахом, и их атаки причиняют едва ли не больший ущерб. К примеру, если зимой преступники сумели скомпрометировать 45 000 БД за месяц активной деятельности, группировка Cru3lty взломала 22 449 БД за одну только прошлую неделю.
Виктор Геверс сообщил журналистам Bleeping Computer, что наблюдал случаи, когда пострадавшие восстанавливали удаленное злоумышленникам содержимое БД из резервных копий, но в тот же день атакующие ломали сервер повторно и вновь стирали данные, хотя администрация сервера пыталась обезопасить MongoDB.
«Теперь нам нужно разобраться в том, что именно происходит, потому как для завершения картины нам не хватает кусочков головоломки. Все дело в нехватке знаний [у администраторов]? Они сами ухудшают безопасность настройкой MongoDB, не подозревая об этом? Они работают с устаревшими версиями, не имеющими безопасных дефолтных значений и содержащими другие уязвимости?», — теоретизирует Геверс и обещает, что привлечет к изучению новой волны атак сторонних специалистов.