Даже спустя 2 года базы MongoDB остаются привлекательной целью для вымогателей

Даже спустя 2 года базы MongoDB остаются привлекательной целью для вымогателей

Только за последний месяц были выявлены три новые хакерские группировки, промышляющие атаками на серверы MongoDB.

image

Два года назад прокатилась волна вымогательских кампаний, в рамках которых злоумышленники искали незащищенные базы данных MongoDB, шифровали их содержимое и вымогали у владельцев суммы в криптовалюте за возврат информации. По словам специалистов, отслеживающих деятельность подобных группировок, данная практика все еще не изжила себя.

Первые атаки были зафиксированы в декабре 2016 года. На то время в Сети насчитывалось порядка 60 тыс. открытых баз MongoDB, чем и пользовались киберпреступники. На первых порах они загружали данные на свои серверы, удаляли информацию с серверов жертв и оставляли уведомление с требованием выкупа, однако быстро поняли, что хранить большие объемы данных нецелесообразно, и начали просто удалять их с серверов компаний. В результате многие жертвы платили выкуп, но так и не смогли вернуть свои данные.

Волна атак, получившая название «Апокалипсис MongoDB», достигла пика в первой половине 2017 года – всего за два месяца с начала года злоумышленники скомпрометировали более 26 тыс. серверов MongoDB. После MongoDB атаки подобного характера также были совершены на аналогичные приложения, например, ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.

По словам исследователя в области безопасности Виктора Геверса (Victor Gevers), атаки на уязвимые серверы все еще продолжаются. Только за последний месяц были выявлены три новые хакерские группировки, промышляющие атаками на серверы MongoDB, рассказал эксперт в интервью изданию ZDNet. В общей сложности злоумышленникам удалось скомпрометировать порядка 3 тыс. баз данных. Впрочем, в большинстве случаев они забывали удалять информацию из баз. По данным Геверса, двум группировкам так и не удалось ничего заработать, тогда как третья смогла собрать чуть менее $200 в биткойнах.

Как полагает Геверс, злоумышленники используют один и тот же инструмент, поскольку все атаки проводятся одинаково, отличаются лишь адрес электронной почты, адрес биткойн-кошелька и текст уведомления о выкупе.

ИБ-эксперты неоднократно винили в атаках самих владельцев баз данных, не защищающих паролем свои учетные записи администратора.

«Я вижу, что владельцы создают больше баз MongoDB (как и должны), но для некоторых из них защита по-прежнему остается трудной задачей», - отметил Геверс.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.