Издание ZDNet сообщает, что записки с требованием выкупа появились в 22 900 базах MongoDB, оставленных доступными удаленно и без паролей. Фактически, неизвестный вымогатель атаковал примерно 47% от всех баз данных MongoDB, доступных в онлайне.
Для атак хакер использует автоматизированный скрипт для поиска неверно сконфигурированных БД, стирает их содержимое, а после себя оставляет записку с требованием выкупа в размере 0,015 биткойнов (примерно 140 долларов США).
Злоумышленник отводит пострадавшим два дня на оплату выкупа, а в противном случае угрожает «слить» якобы похищенные данные в открытый доступ и связаться с контролирующими органами, сообщив им о нарушении Общего регламента по защите данных (General Data Protection Regulation, GDPR) со стороны жертвы.
Издание отмечает, что атаки с использованием такой же записки с требованием выкупа (файл READ_ME_TO_RECOVER_YOUR_DATA) уже были замечены экспертами в апреле 2020 года.
Специалист GDI Foundation Виктор Геверс сообщил журналистам, что сначала такие атаки обходились без удаления данных жертв. Злоумышленник просто подключался к чужой БД и оставлял вымогательскую записку, а через несколько дней возвращался снова, чтобы разместить еще одну копию той же записки.
Теперь же злоумышленник, похоже, заметил, что допустил ошибку в своем скрипте, и начиная с этой недели скрипт и полностью стирает все содержимое атакованных баз MongoDB.
Виктор Геверс, который регулярно уведомляет компании об оставленных уязвимыми серверах, в рамках своей работы в GDI Foundation, говорит, что уже обнаружил ряд уничтоженных баз MongoDB среди тех, о которых планировал уведомить владельцев.
«Сегодня я мог сообщить только об одной утечке данных. Обычно я рассылаю от 5 до 10 уведомлений [в день]», — рассказывает эксперт.
К сожалению, такие атаки не новы. Так, еще в 2016 году хакеры настолько активно атаковали уязвимые установки MongoDB, что даже привлекли этим внимание разработчиков. Увы, но три года спустя практически ничего не изменилось: если в начале 2017 года в сети можно было найти примерно 60 000 серверов MongoDB, доступных всем желающим, то теперь их насчитывается порядка 48 000, и на большинстве аутентификация попросту неактивна.