ИБ-эксперты фиксируют резкий рост количества угонов баз данных MongoDB с целью получения выкупа. Вчера исследователь Нил Мерриган (Niall Merrigan) сообщил, что число атак на неправильно сконфигурированные MongoDB возросло до 28 тыс., а количество групп, занимающихся вымогательством, перевалило за полтора десятка. На прошлой неделе было известно о 2 тыс. жертв взлома, а взломщиков считали по пальцам.

Первые атаки на MongoDB обнаружил 27 декабря исследователь Виктор Геверс (Victor Gevers); ответственность за эти варварские акции заявил некий хакер Harak1r1, требовавший за возврат данных 0,2 биткойна. После этого число жертв стало быстро расти: две недели назад оно составило 200, неделю назад — 2 тыс., а в пятницу — более 10 тыс. В понедельник Мерриган опубликовал новые сводки в Twitter, отметив, что количество скомпрометированных серверов MongoDB достигло 27 тыс., а общий объем утраченных данных составляет 93 Тбайт.

Мерриган и Геверс фиксируют количество атак на MongoDB и их инициаторов, отражая прогресс в электронной таблице. На момент этой публикации число жертв вымогательской кампании превысило 28 тыс. Исследователи подчеркивают, что во многих случаях содержимое атакованных баз данных попросту уничтожается и уплата выкупа не способна их вернуть. На прошлой неделе в комментарии Threatpost Геверс также отметил, что авторы атак на MongoDB конкурируют между собой. Если хакер атакует систему и находит чужое сообщение с требованием выкупа, он его заменяет своим. К сожалению, это уменьшает шансы жертвы на выкуп данных.

Подобные атаки стали возможными из-за того, что многие компании используют дефолтные настройки MongoDB, не требующие аутентификации для получения доступа к базе данных. Со слов Геверса, недавнее сканирование с помощью Shodan выявило 46 тыс. MongoDB, открытых для атак. Собеседник Threatpost также отметил, что хакеры используют скрипты, позволяющие автоматизировать взломы и удаление данных. Такой скрипт легко написать и применять в тех случаях, когда аутентификация на вход в базу не требуется.

Представители MongoDB на запрос Threatpost о комментарии не ответили, но на прошлой неделе, когда стало известно о первых вымогательских атаках, опубликовали рекомендации по усилению защиты баз данных и другим мерам противодействия атакующим.

Категории: аналитика, Главное, Уязвимости, хакеры

Leave A Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

  *