Исследователи информационной безопасности сообщили о новой волне атак хакеров-вымогателей на серверы с установленной MongoDB. Начиная с прошлой надели было взломано более 26 000 серверов, причем 22 000 из них были атакованы одной кибергруппой.
Атаки заметили исследователи Дилан Катц (Dylan Katz) и Виктор Жевер (Victor Gevers). По их мнению взломы продолжают так называемый «апокалипсис MongoDB», который начался в декабре 2016 года и продолжался несколько месяцев в 2017 году — тогда хакеры атаковали плохо настроенные серверы MongoDB, администраторы которых не запретили внешние подключения к ним. Стандартный сценарий атак выглядел так: сначала хакеры проникали на сервер, удаляли всю информации из базы данных и требовали выкуп за ее восстановление.
Большинство атакованных серверов представляли собой тестовые системы, однако в некоторых случаях взломщикам удалось получить доступ к продуктивным базам данных — поэтому некоторые компании были вынуждены заплатить выкуп, однако данные им никто не вернул.
Новая волна атак
Несколько ИБ-исследователей вели статистику атак на MongoDB в специальной таблице в Google-документах — в ходе «Апокалипсиса» всего было уничтожено более 45 000 баз. При этом, атаки вымогателей распространились и на другие технологии — например, ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.
Летом этого года активность вымогателей пошла на убыль, однако на прошлой неделе сразу три кибергруппировки начали проводить новые атаки. Число групп хакеров исследователи определили на основании количества email-адресов, использованных при отправки требований о выкупе (
cru3lty@safe-mail.net
, wolsec@secmail.pro
, mongodb@tfwno.gf
) — хотя эксперты Positive Technologies считают такой метод подсчетов сомнительным.Меньше атак, масштабнее последствия
В интервью изданию Bleeping Computer Виктор Жевер заявил, что количество взломщиков по сравнению с волной атак прошлого года сократилось, однако масштабы их действий увеличились — среднее число жертв одной атаки выросло в разы. Для сравнения, во время прошлой волны атак на MongoDB у хакеров ушел месяц на взлом 45 000 серверов. При этом теперь кибегруппировка Cru3lty смогла достичь половины от этих цифр всего за неделю.
По словам Жевера, он зафиксировал даже случаи повторных атак, когда администратор восстанавливал базу данных из бэкапов, а затем в тот же день ее атаковали снова. Исследователь пока не уверен в том, почему атаки становятся возможными — непонятно используют ли жертвы устаревшую версию MongoDB или некорректно настраивают СУБД.
Защищенность систем MongoDB — известная проблема. Еще в 2015 году основатель поисковика Shodan Джон Мэзерли (John Matherly) публиковал данные исследований, согласно которым более 30000 экземпляров MongoDB были доступны из интернета без контроля доступа.