Злоумышленники продолжают атаковать незащищенные инстансы MongoDB в автоматизированных вымогательских кампаниях. Жертвам предлагают заплатить небольшой выкуп за восстановление данных.
Как правило, атакующие выбирают легкие цели — базы данных, доступные через интернет из-за неправильной конфигурации, которая позволяет подключаться без каких-либо ограничений. По информации исследователей из компании Flare, в настоящее время скомпрометировано около 1400 серверов, а в записках с требованием выкупа фигурирует сумма примерно в 500 долларов США в биткоинах.
Напомним, что до 2021 года такие атаки происходили массово — тысячи БД удалялись с серверов, а злоумышленники требовали выкуп за восстановление данных. Порой хакеры просто стирали информацию, не выдвигая никаких финансовых требований.
Специалисты Flare пишут, что такие атаки продолжаются по сей день, просто в меньших масштабах. Так, эксперты обнаружили более 208 500 публично доступных серверов MongoDB, более 100 000 из которых раскрывают операционную информацию, а к 3100 можно подключиться вообще без аутентификации.
Почти половина (45,6%) обнаруженных инстансов с неограниченным доступом уже оказалась скомпрометирована к моменту проведения исследования. БД были стерты, а на их месте хранилась записка с требованием выкупа.
Анализ таких записок показал, что в большинстве случаев злоумышленники требуют 0,005 BTC в течение 48 часов.
«Атакующие требуют оплату в биткоинах (обычно около 0,005 BTC, что сегодня эквивалентно 500–600 долларам США) на указанный адрес кошелька, обещая восстановить данные, — говорится в отчете Flare. — Однако нет никаких гарантий, что у злоумышленников вообще есть данные или что они предоставят рабочий ключ расшифровки после оплаты».
Во всех найденных записках фигурировало всего пять уникальных адресов кошельков, причем один из них встречался примерно в 98% случаев. Это указывает на то, что за атаками стоит один злоумышленник или группа.
Также исследователи обратили внимание на оставшиеся открытые инстансы, которые не были скомпрометированы, невзирая на их доступность и слабую защиту. Предполагается, что владельцы этих серверов могли уже заплатить выкуп хакерам.
Помимо проблем с аутентификацией, специалисты обнаружили, что почти половина (95 000) всех доступных через интернет серверов MongoDB работает на устаревших версиях, содержащих известные уязвимости. Правда, большинство из этих багов позволяют лишь проводить DoS-атаки, а не выполнять удаленный код.
Эксперты рекомендуют администраторам MongoDB не открывать инстансы для публичного доступа без крайней необходимости, использовать надежную аутентификацию, настраивать правила файрвола и сетевые политики Kubernetes таким образом, чтобы разрешать подключения только с доверенных адресов, а также не копировать конфигурации из гайдов вслепую.
