CouchDB и Hadoop стали новыми объектами атак вымогателей

CouchDB и Hadoop стали новыми объектами атак вымогателей

Инциденты произошли после волны атак на серверы MongoDB и ElasticSearch в январе нынешнего года.

image

На прошлой неделе неизвестные злоумышленники атаковали некоторые базы данных CouchDB и Hadoop. В основном преступники делали это в целях получения выкупа за возвращение украденных файлов, однако в некоторых случаях злоумышленники уничтожали данные просто «ради смеха».

Инциденты произошли после волны атак на серверы MongoDB в начале января нынешнего года. Тогда эксперты полагали, что под прицел киберпреступников могут попасть и другие серверы баз данных. Спустя неделю прогнозы специалистов подтвердились - в результате хакерской атаки пострадали кластерные серверы ElasticSearch. В результате серии атак были скомпрометированы свыше 34 тыс. серверов MongoDB и 4,6 тыс. кластеров ElasticSearch.

Как пояснили в интервью ресурсу BleepingComputer исследователи Виктор Геверс (Victor Gevers) и Ниалл Мерриган (Niall Merrigan), начиная с 12 января некто под псевдонимом NODATA4U компрометировал серверы Hadoop и удалял все данные, вставляя в строки таблицы нелицеприятную фразу NODATA4U_SECUREYOURSHIT. На момент написания новости было обнаружено 124 таких сервера.

Странность заключается в том, что злоумышленник не требует выкуп за восстановление данных и в целом вся ситуация походит на простой вандализм. Как отметили исследователи, «хулиган» действует достаточно медленно, удаляя один хост в час, хотя все данные таблицы можно удалить за несколько секунд.

По данным экспертов, 5,4 тыс. экземпляров Hadoop подключены к Интернету, хотя неизвестно, какими из них можно управлять через доступную в Сети панель администрирования.

Помимо серверов Hadoop, интерес для злоумышленников также представляют базы Apache CouchDB. В отличие от инцидентов с Hadoop, данные атаки преследуют финансовую выгоду. Организатором кампании является группировка r3l4x. Злоумышленники копируют данные из уязвимых БД, удаляют их и требуют выкуп за восстановление информации. По некоторым сведениям, участники r3l4x также скомпрометировали 443 сервера CouchDB. В настоящее время неясно, действительно ли преступники имеют копии удаленных данных или просто «вычищают» информацию и требуют выкуп.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle