Криптовымогатели продают инструмент для атаки на системы использующие MongoDB, Hadoop и ElasticSearch

    image

    В начале января этого года группа из 21 хакера провела масштабную серию кибератак, жертвами которой стали системы, использующие MongoDB. За пять дней было инфицировано порядка 21600 баз данных MongoDB, а только злоумышленники, называющие себя Kraken Group получили выкупов на сумму в 9,8 BTC (около 7700$).

    Но даже после активного противодействия атаке и освещения проблемы в зарубежной профессиональной прессе и блогосфере, хакеры останавливаться не собираются. К концу января все кто хотел заплатить — заплатили, но группа останавливаться не собирается.

    После того, как основная волна выкупов иссякла, а в рядах самих хакеров началась путаница на тему «кто и что заразил», в Kraken Group было принято решение еще немного подзаработать и хакеры занялись продажей инструмента, которым они атаковали базы данных. Стоимость скрипта составляет всего 200$. При этом размер выкупа базы данных у злоумышленников составлял 0,2 BTC или около 184$.

    selling Kraken Mongodb ransomware c# source code

    price: 200USD in bitcoins

    This [EXPLETIVE] is very fast Multi-Threaded can handle 1000+ ips per second and way more if you got powerful 10GBs port
    CPU load is very low, RAM is important if you have big ip list ( included with source code )

    what you'll get:
    * kraken source code
    * 100,000 ip list with mongodb open
    * mass mongodb scanner to scan the whole internet ip range for open mongodbs

    Объявление о продаже на Pastebin

    Всего по статистике ZoomEye в сети существует около 100 000 открытых систем, использующих MongoDB, ip-адреса которых и предлагаются вместе с инструментом. Kraken Group заразила почти пятую часть из них. До кого-то они не смогли добраться чисто физически, кто-то из администраторов предпринял меры по обеспечению безопасности системы, когда об атаке стало широко известно.

    Атаке подвергались открытые базы, которые методом парсинга находили в сети. То есть злоумышленники эксплуатируют не уязвимость в самой БД, а исключительно лень администраторов. Примерно неделю назад хакеры добавили в скрипт скан открытых БД на Hadoop и ElasticSearch.

    Если вы являетесь администратором одной из этих БД, убедитесь, что они надежно защищены.
    • +16
    • 5.3k
    • 7
    Inoventica Services
    87.24
    VPS / хостинг / домены / защита от DDoS
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 7

      –1

      Благодарствую за информацию. Благо в инет у меня смотрят только бд с паролями по юзерам. Но всё же. Благодарю.

        0

        Вот нагуглил некоторое объяснение истоков проблемы: https://habrahabr.ru/post/221221/
        Если кратко, то до определенной версии MongoDB шла открытой по умолчанию. И пользователи, неожидавшие такой засады, ничего не подозревая, таковой ее и оставляли.

          0
          > пользователи, неожидавшие такой засады, ничего не подозревая

          По какой причине вообще может существовать сервер, подключенный к интернету и не имющий фаервола с политикой запрета входящих соединений по-умолчанию, кроме явно разрешённых? Это же не какое-то хитрое ИБ-вуду типа IDS/IPS, это правило из разряда «не суй пальцы в розетку».
            0

            Это ни ко мне вопрос. Я просто кратко пересказал текст по ссылке. Сам я Монгой вообще не пользуюсь

              +1

              Правило из разряда "не суй пальцы в розетку" работает до тех пор, пока всё делается на одной машине, тогда к этой бд никто и не будет кроме локальных процессов конектится. Проблемы начинаются, когда человеку вдруг захотелось подредактировать эту самую бд, а она оказывается за каким-то фаерволом, который надо настраивать ещё. Находится первая же статься "как открыть порт", из неё копипастятся команды, и про --auth у монги никто в этой статье не говорит, просто по тому, что эта статья расчитана на все порты.

                0
                Правило из разряда «не суй пальцы в розетку» работает до тех пор, пока не надо выходить из дома. Проблемы начинаются, когда человеку вдруг захотелось куда-то поехать, а для этого надо учиться водить какую-то машину. Находится первая же статься «как завести машину»…

                Ну всем же например очевидно, что если убрать из офиса охрану, выключить сигнализацию, оставить его на ночь открытым и на стол положить кошелёк с деньгами, то скорее всего эти деньги исчезнут, возможно вместе с оргтехникой. Думаю, случаи воровства больших сумм денег из открытых неохраняемых помещений очень редки, и не потому, что желающих мало.

                Но почему-то, как видно из статьи, очень много людей оставляют открытым в интернет сервис без авторизации. Причём эти люди работают с большими объёмами данных, то есть они вроде как должны обладать определённым уровнем компьютерной грамотности и понимать, что при такой настройке эти данные доступны _всем_, кто имеет доступ в интернет.
                  +1

                  Я вас умоляю… Нормальных данных там нету. Нормальный человек так делать не будет.
                  Всё проще. Есть какой-нибудь стартап игры с акками на монге. Эту бд никто не знает как охранять, ибо людям, которые работают на каком-нибудь хипстерском блендере пофигу, что хипстерская монга должна иметь защиту.
                  В конце концов, когда базу шифруют, разрабам не хочется терять акки, а точнее говоря деньги, которые привязаны к этим аккам, ведь во всяких там мморпг много чего можно сохранять в бд, а вернуть это потом… Тк вот, в конце концов оказывается, что те 15 человек, друзей кролика, нехило вложились в развитие этой игры, и им легче набрать указанные 200 зелёных, чем отдавать 205 своим 15-ти клиентам.


                  Нормальные люди пальцы в розетку без гвоздей не суют...

          Only users with full accounts can post comments. Log in, please.