В начале июля 2020 года издания BleepingComputer и ZDNet сообщили, что злоумышленник смог получить удаленный доступ к более чем 22 тыс. баз данных MongoDB, часть из которых даже не были защищены паролями.
Хакер воспользовался этой ситуацией в целях обогащения — он требует выкуп от владельцев баз в размере 0,015 биткойна или их данные будут выложены в открытый доступ. Вдобавок взломщик угрожает, что информация об этом инциденте будет сообщена в соответствующие органы по защите GDPR (General Data Protection Regulation), которые могут выписать штраф владельцу плохо защищенной или даже открытой MongoDB.
Злоумышленник пользуется автоматизированным скриптом для поиска в сети интернет доступных баз данных MongoDB. С помощью этого скрипта хакер также проводит копирование данных баз на сторонние дисковые ресурсы и стирает все данные в оригинале. Вместо атакованной MongoDB создается новая база данных с именем «READ_ME_TO_RECOVER_YOUR_DATA». Таким образом, если у владельца не было резервной копии базы данных, то у него, как минимум, появлялись проблемы с ее восстановлением.
Сообщение, которое оставлял скрипт фактически вместо базы данных.
«Нами была создана резервная копия ваших данных. Вы должны заплатить 0,015 BTC, срок — 48 часов, тогда мы их вам восстановим. По истечении 48 часов мы выложим в открытый доступ все ваши данные. Также в случае отказа от оплаты мы свяжемся с представителями по защите GDPR и уведомим их о том, что вы храните пользовательские данные в открытой форме и без защиты. Согласно текущему законодательству, вам грозит большой штраф или арест, а ваша копия данных будет удалена с нашего сервера! После оплаты напишите мне на почту, указав IP вашей БД.»
Специалисты по информационной безопасности в курсе этой ситуации, причем они ранее уже предупреждали разработчиков и администраторов баз данных MongoDB о том, что их необходимо правильно настраивать и защищать. Но практика показывает, что за последние годы количество доступных баз данных MongoDB не уменьшилось. Например, сейчас таких ресурсов в сети интернет около 38 тыс., причем часть из них даже без пароля.
Вдобавок эксперты обнаружили, что часть баз данных MongoDB, которые ранее взломал хакер, вернулись в исходное положение. Это может означать, что их владельцы заплатили выкуп злоумышленнику, но скорее всего они восстановили свои данные из своих резервных копий. Исходя из предварительного анализа, ИБ-эксперты считают, что данные атакованных баз данных MongoDB не были скопированы скриптом хакера на сторонние ресурсы перед их удалением. Так как хранить, анализировать и восстанавливать около 23 тыс. баз данных MongoDB, которые на текущий момент взломал хакер, довольно проблемно.
Специалисты категорически не советуют вступать в переговоры и поддаваться на угрозы хакеров в этом случае. Так как если заплатить им даже такую небольшую сумму, которую они требуют сначала, то можно далее утонуть в процесс затяжного вымогательства, если злоумышленники поймут, что обнаруженная ими информация ценна для владельца.
См. также:
