На прошлой неделе неизвестная группа злоумышленников перехватила управление некоторыми базами данных CouchDB и Hadoop. Главным образом киберпреступники сделали это ради получения выкупа, но в некоторых случаях просто удаляли данные «из вредности».

Первая волна атак на сервера MongoDB была замечена в начале года, и ИБ-исследователи не сомневались, что другие сервера баз данных также вскоре столкнутся с этой проблемой. Действительно, спустя неделю после первых инцидентов в результате атаки пострадали кластерные сервера ElasticSearch. Всего в результате серии атак были скомпрометированы около 34 тыс. серверов MongoDB и 4,6 тыс. серверов ElasticSearch.

В нескольких случаях захват баз данных просто был развлечением для кибервандалов, которые удаляли все данные, вставляя нелицеприятное выражение «NODATA4U_SECUREYOURSHIT» во все строки таблицы, которая из-за ошибок в конфигурации оказалась в открытом доступе. NODATA4U в этом случае — никнейм хакера.

Такая неприятность приключилась со 124 серверами Hadoop. Злоумышленник даже не потребовал выкупа, ограничившись просто хулиганством. Исследователи отметили, что атакующий действует достаточно медленно, удаляя примерно один хост в час, хотя удалить все данные таблицы можно всего за несколько секунд.

По данным экспертов, 5,4 тыс. инстанций Hadoop подключены к Интернету, хотя невозможно выявить, какими из них можно управлять через доступную в Сети панель администрирования.

После серверов Hadoop настала очередь баз Apache CouchDB. В отличие от атак Hadoop, совершаемых из хулиганских побуждений, эти атаки имеют явную финансовую мотивацию. Злоумышленники, группировка r3l4x, копируют данные из уязвимых баз, затем «вычищают» их и требуют выкуп за восстановление информации. Пока нет никаких подтверждений, что вымогатели действительно имеют копии удаленных данных. Участники r3l4x уже скомпрометировали 443 сервера CouchDB.

Два исследователя, первыми заметившие атаки, теперь ведут учет атак на Hadoop и CouchDB в отдельных «Google Таблицах», как и в случае с ElasticSearch и MongoDB. Также эксперты предупредили об опасности GovCERT, а последние опубликовали предупреждения для владельцев потенциально уязвимых серверов. Благодаря усилиям исследователей на выходных многие сервера Hadoop, потенциально попавшие в группу риска, были отключены для проведения превентивных мероприятий по повышению безопасности.

Тем временем все новые группировки участвуют в атаках на сервера и нацеливаются и на другие виды баз данных. Исследователи отвечают симметрично: теперь проблемой вплотную занимаются пять исследователей, предлагающих помощь жертвам атак. Также стоит отметить, что во многих случаях даже те, кто уплатил выкуп злоумышленникам, так и не вернули свои данные.

Категории: Аналитика, Главное, Кибероборона, Уязвимости, Хакеры