Как стало известно Bleeping Computer, одна из наиболее агрессивных групп хакеров, атакующих серверы MongoDB с целью вымогательства, решила, что эти возможности почти исчерпаны и пора монетизировать свое достояние — инструмент для автоматизации атак на открытые базы данных. Согласно статистике, за последнюю неделю число жертв взлома MongoDB возросло с 2 тыс. до 32 тыс. с лишним, а количество атакующих группировок — с нескольких до 21.

По свидетельству экспертов, основной причиной успеха текущих атак на MongoDB является небрежение администраторов, которые, несмотря на многочисленные предупреждения, продолжают подключать свои серверы к Интернету без надлежащей защиты. Так, летом 2015 года исследователи из швейцарской ИБ-компании BinaryEdge обнаружили в Интернете более 39 тыс. баз данных MongoDB, доступных без какой-либо аутентификации. Пробный поиск с помощью Shodan, проведенный год назад, выявил 35 тыс. таких установок, сканирование на прошлой неделе показало 46 тыс., тогда как аналогичный веб-сервис ZoomEye зафиксировал около 100 тыс. MongoDB, доступных из Интернета (правда, необязательно незапароленных).

К счастью, как пишет репортер Bleeping Computer, активное освещение хода событий на этом фронте заставило администраторов озаботиться защитой открытых баз данных или как минимум воздержаться от выкупа: практика показала, что во многих случаях хакеры не копируют удаляемые данные и уплата выкупа в этом случае не спасет положение. Одной из последних жертв взлома MongoDB стал Принстонский университет, хотя подробности этой атаки доподлинно неизвестны.

По оценке экспертов, самой большой и агрессивной из атакующих MongoDB групп является Kraken. Эта группировка вступила в игру 6 января и за два дня угнала около 16 тыс. баз данных, получив от их владельцев более $6,2 тыс. в качестве выкупа. Еще через пять дней число жертв Kraken уже превышало 21,6 тыс., а содержимое ее кошелька увеличилось до 9,8 биткойна (примерно $7,7 тыс.).

На днях ИБ-исследователь @rem1nd_ обнаружил на Pastebin объявление Kraken о продаже программы-вымогателя, способной отыскивать уязвимые MongoDB в Интернете:

Kraken-ad

(Источник: Bleeping Computer)

Это плохая новость, так как опробованным инструментом атаки (он продается всего за $200 в биткойнах) теперь могут воспользоваться менее искушенные злоумышленники и быстро стереть остальные открытые MongoDB, сколько бы их ни осталось, — кстати, видимо, не так уж и много: судя по новой «сводке с фронта» The Register, хакеры-вымогатели уже переключились на ElasticSearch-серверы Amazon.

В комментарии Bleeping Computer Боб Дьяченко из MacKeeper отметил, что текущие атаки затронули почти все уязвимые реализации MongoDB, которые зафиксировала его компания. «В целом могу сказать, что угнаны все отраженные в наших отчетах и непропатченные экземпляры MongoDB», — заявил эксперт в ответном письме журналистам. По его словам, MacKeeper уже больше года просматривает Интернет в поисках открытых баз данных MongoDB, предупреждает о рисках владельцев и помогает им повысить безопасность серверов.

В настоящее время за вымогательскими атаками пристально следят ИБ-исследователи Виктор Геверс (Victor Gevers) и Нил Мерриган (Niall Merrigan), которые тоже оказывают посильную помощь жертвам. Bleeping Computer надеется, что всеобщее внимание, прикованное к повальным взломам, окончательно убедит администраторов MongoDB в необходимости защищать доступные из Интернета базы данных с помощью той или иной формы авторизации. Им также настоятельно рекомендуется ознакомиться с официальным руководством по обеспечению безопасности, новая редакция которого была опубликована на сайте MongoDB на прошлой неделе.

Категории: Главное, Уязвимости, Хакеры