在一周內,超過27000個MongoDB數據庫被勒索贖金
黑客通過Harak1r1訪問、復制和刪除未打補丁或配置不當的MongoDB數據庫,然后威脅管理員勒索以交換丟失的數據。
這一切都始于周一,當時安全研究人員維克多·格弗斯(Victor Gevers)發現了近200個MongoDB安裝實例,這些實例已被刪除,并被扣押以獲取贖金,要求受害者為恢復數據支付巨額贖金。
據Shodan創始人約翰·馬瑟利(John Matherly)報告,截至周二,這一數字已達到約2000個數據庫。截至周五,Gevers和安全研究員尼埃爾·梅里根(Niall Merrigan)將這一數字更新至10500個。
然而,根據梅里根最近收集的統計數據,在大約12個小時的時間里,受損系統的數量已經增加了一倍多,達到2.7萬個。
更糟的是什么?
最初的襲擊向攻擊者索要了0.2比特幣(約合184美元)的贖金,其中22名受害者似乎已經支付了贖金。但現在,攻擊者的要求高達1BTC(約906美元)。
研究人員記錄了大約15名不同的攻擊者,其中一名攻擊者使用電子郵件句柄kraken0入侵了15482個MongoDB實例,并要求使用1比特幣返還丟失的數據,但似乎沒有人為此付費。
這意味著在最初的故事公開后,更多的黑客和黑客團體也在做同樣的事情;訪問、復制和刪除配置不當的MongoDB數據庫;索要贖金。
誰對MongoDB勒索軟件負責?
你是的,所有使用配置錯誤的MongoDB數據庫的管理員都是這些攻擊突然激增的原因。
在每種情況下,目標MongoDB服務器都有一個管理員帳戶,該帳戶的配置沒有密碼。
使用Shodan搜索引擎可以識別許多安全性較差的MongoDB數據庫,該搜索引擎目前顯示了99000多個易受攻擊的MongoDB實例。
當該公司提供了一種在MongoDB中設置身份驗證的簡單方法時,就會出現這種情況。
如何保護自己?
由于沒有證據表明黑客在刪除數據之前復制了數據,因此恢復已經刪除的數據庫以換取巨額贖金的承諾是可疑的。
Gevers建議受影響的MongoDB數據庫所有者不要付費,也不要向安全專家尋求幫助。他和梅里根已經幫助大約112名受害者保護了他們暴露的MongoDB數據庫。
建議使用MongoDB的網站管理員遵循以下步驟:
- 啟用身份驗證如果你的網絡遭到破壞,這將為你提供“縱深防御”。編輯MongoDB配置文件;auth=true。
- 使用防火墻— 如果可能,禁用對MongoDB的遠程訪問。通過阻止對端口27017的訪問或綁定本地IP地址來限制對服務器的訪問,避免常見的陷阱。
- 強烈建議管理員更新MongoDB軟件至最新版本。
與此同時,MongoDB開發者發布了一個更新版本MongoDB安全指南,解釋這些勒索軟件引發的攻擊,以及如何檢測和防止它們,以及檢查數據完整性的步驟。
