Даже спустя 2 года базы MongoDB остаются привлекательной целью для вымогателей
Только за последний месяц были выявлены три новые хакерские группировки, промышляющие атаками на серверы MongoDB.
Два года назад прокатилась волна вымогательских кампаний, в рамках которых злоумышленники искали незащищенные базы данных MongoDB, шифровали их содержимое и вымогали у владельцев суммы в криптовалюте за возврат информации. По словам специалистов, отслеживающих деятельность подобных группировок, данная практика все еще не изжила себя. Первые атаки были зафиксированы в декабре 2016 года. На то время в Сети насчитывалось порядка 60 тыс. открытых баз MongoDB, чем и пользовались киберпреступники. На первых порах они загружали данные на свои серверы, удаляли информацию с серверов жертв и оставляли уведомление с требованием выкупа, однако быстро поняли, что хранить большие объемы данных нецелесообразно, и начали просто удалять их серверов компаний. В результате многие жертвы платили выкуп, но так и не смогли вернуть свои данные.
Волна атак, получившая название «Апокалипсис MongoDB», достигла пика в первой половине 2017 года – всего за два месяца с начала года злоумышленники скомпрометировали более 26 тыс. серверов MongoDB. После MongoDB атаки подобного характера также были совершены на аналогичные приложения, например, ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.
По словам исследователя в области безопасности Виктора Геверса (Victor Gevers), атаки на уязвимые серверы все еще продолжаются. Только за последний месяц были выявлены три новые хакерские группировки, промышляющие атаками на серверы MongoDB, рассказал эксперт в интервью изданию ZDNet. В общей сложности злоумышленникам удалось скомпрометировать порядка 3 тыс. баз данных. Впрочем, в большинстве случаев они забывали удалять информацию из баз. По данным Геверса, двум группировкам так и не удалось ничего заработать, тогда как третья смогла собрать чуть менее $200 в биткойнах.
Как полагает Геверс, злоумышленники используют один и тот же инструмент, поскольку все атаки проводятся одинаково, отличаются лишь адрес электронной почты, адрес биткойн-кошелька и текст уведомления о выкупе.
ИБ-эксперты неоднократно винили в атаках самих владельцев баз данных, не защищающих паролем свои учетные записи администратора.
«Я вижу, что владельцы создают больше баз MongoDB (как и должны), но для некоторых из них защита по-прежнему остается трудной задачей», — отметил Геверс.
