В начале января этого года группа из 21 хакера провела масштабную серию кибератак, жертвами которой стали системы, использующие MongoDB. За пять дней было инфицировано порядка 21600 баз данных MongoDB, а только злоумышленники, называющие себя Kraken Group получили выкупов на сумму в 9,8 BTC (около 7700$).
Но даже после активного противодействия атаке и освещения проблемы в зарубежной профессиональной прессе и блогосфере, хакеры останавливаться не собираются. К концу января все кто хотел заплатить — заплатили, но группа останавливаться не собирается.
После того, как основная волна выкупов иссякла, а в рядах самих хакеров началась путаница на тему «кто и что заразил», в Kraken Group было принято решение еще немного подзаработать и хакеры занялись продажей инструмента, которым они атаковали базы данных. Стоимость скрипта составляет всего 200$. При этом размер выкупа базы данных у злоумышленников составлял 0,2 BTC или около 184$.
selling Kraken Mongodb ransomware c# source code
price: 200USD in bitcoins
This [EXPLETIVE] is very fast Multi-Threaded can handle 1000+ ips per second and way more if you got powerful 10GBs port
CPU load is very low, RAM is important if you have big ip list ( included with source code )
what you'll get:
* kraken source code
* 100,000 ip list with mongodb open
* mass mongodb scanner to scan the whole internet ip range for open mongodbs
Объявление о продаже на Pastebin
Всего по статистике ZoomEye в сети существует около 100 000 открытых систем, использующих MongoDB, ip-адреса которых и предлагаются вместе с инструментом. Kraken Group заразила почти пятую часть из них. До кого-то они не смогли добраться чисто физически, кто-то из администраторов предпринял меры по обеспечению безопасности системы, когда об атаке стало широко известно.
Атаке подвергались открытые базы, которые методом парсинга находили в сети. То есть злоумышленники эксплуатируют не уязвимость в самой БД, а исключительно лень администраторов. Примерно неделю назад хакеры добавили в скрипт скан открытых БД на Hadoop и ElasticSearch.
Если вы являетесь администратором одной из этих БД, убедитесь, что они надежно защищены.