Нова атака поразила 26 000 незащитени MongoDB инстанции

В края на миналата седмица три отделни групи киберпрестъпници са атакували успешно хиляди MongoDB инстанции, алармират специалисти. Близо 26 000 бази данни на основата на платформата са били ефективно откраднати и изтрити с искането на откуп за възстановяването им. Това е поредната вълна от атаки към недобре конфигурирани инстанции на основата откритата DB платформа, след появилите се в началото на тази година атаки. Хората, открили инцидентите – Виктор Жерве и Дилан Катц от GDI Foundation, предават, че само една от атакуващите страни, използваща адрес за връзка cru3lty@safe-mail.net е успяла да вземе в плен 22 000 MongoDB инстанции.

След успешната атака, хакерите оставят стандартно съобщение, което гласи: „Имаме вашата информация. Базата е архивирана на нашите сървъри. Ако искате да я възстановите ни изпратете 0.15 BTC. Друга от групите – с адрес за контакт wolsec@secmail.pro е успяла да компрометира 3500 бази данни. Макар и малцина, вече има и компании, заплатили искания откуп.

Жерве обяснява, че престъпниците сканират IPv4 спектъра за налична комуникация с MongoDB инстанции на порт 27017. Веднъж открили такива, те изпълняват скрипт към базата данни, който, ако е успешен, автоматично изтрива информацията и заменя данните с бележка за искания откуп. Става дума за инстанции, чиито конфигурационни данни са тези, които идват по подразбиране с инсталацията и са открити към Интернет. Специалистите обясняват, че престъпниците не атакуват бази данни на основата на MongoDB единствено, а и такива на основата на ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.