Независимый ИБ-специалист Саньям Джайн (Sanyam Jain) обнаружил более 12 тыс. уничтоженных киберпреступниками баз данных MongoDB. Злоумышленники удаляют все записи из хранилища и предлагают жертве обратиться к ним для восстановления информации. Эксперты связывают нападения с ранее неизвестной группировкой Unistellar.

Кампания Unistellar началась в конце апреля этого года и затронула базу данных с информацией о более чем 257 млн жителей Индии, найденной в открытом доступе ИБ-специалистом Бобом Дьяченко (Bob Diachenko). Исследователь обнаружил незащищенное хранилище, содержащее персональные идентификационные сведения, 23 апреля. Записи включали в себя имена, номера телефонов, адреса электронной почты и данные о месте проживания граждан.

Специалист сообщил о своей находке в Индийский центр реагирования на киберугрозы (CERT-In), однако база данных оставалась в доступе вплоть до 8 мая, когда ее уничтожили киберпреступники из Unistellar.

По мнению экспертов, киберпреступники используют автоматизированный скрипт, который ищет незащищенные базы MongoDB и стирает содержащуюся в них информацию. Зловред добавляет в освободившиеся ячейки строки с предложением написать для восстановления данных на один из email-адресов.

Аналитики отмечают, что атакующие создают точки для восстановления информации, однако неизвестно, сохраняют ли они резервные копии уничтоженных баз. Отследить получение выкупа также не представляется возможным, поскольку киберпреступники не публикуют номера цифровых кошельков, а сообщают их жертве только в личной переписке.

В марте 2019-го Дьяченко обнаружил в Сети около 150 Гб данных, собранных маркетинговым агентством Verifications[.]io. В базе под управлением MongoDB содержалось более 800 млн адресов электронной почты, а также имена, даты рождения, номера телефонов и другие сведения о частных лицах и организациях. Позже другие исследователи нашли еще три хранилища, принадлежащие компании. Таким образом, объем скомпрометированных данных составил около 2 млрд записей.

Категории: Хакеры