上周对 MongoDB 数据库的勒索攻击重燃战火, 三个新的团伙劫持了2.6万台服务器, 其中一个团伙劫持了2.2万台。
MongoDB启示录攻击活动从去年年底就开始了
攻击是由安全研究人员 Dylan Katz 和 Victor Gevers 发现的,据说是 MongoDB Apocalypse(MongoDB 启示录)的延续,这个攻击始于2016年12月下旬, 并延续到2017年的前几个月。在这些攻击中, 多个黑客扫描了互联网上的 MongoDB 数据库开放的外部连接, 加密他们的内容, 并要求支付赎金。
这些暴露的数据库大多是测试系统, 但也有一些包含了生产数据,最后有一些公司支付了赎金, 但发现还是被骗了,攻击者根本就没有他们的数据。
又出现新一波MongoDB数据库攻击行动
一些安全研究人员用 Google 文档电子表格跟踪了这些攻击。总体而言, 近两个月来攻击者破坏了超过4.5万数据库, 甚至更多。这些攻击从 MongoDB开始, 逐步蔓延到其他服务器技术, 如 ElasticSearch , Hadoop , CouchDB, Cassandra和 MySQL 服务器。
从附件的数据中还可以看到中国的服务器数据
在春季和夏季, 参与这些攻击的黑客团体逐渐减少, 被勒索软件攻击的服务器数量也随之下降。直到上周, 三个新的团伙又出现了, 这是根据他们在勒索信息中留下的电子邮件地址进行的归类识别。
| Email address | Victims | Ransom demand | Bitcoin address |
|---|---|---|---|
| cru3lty@safe-mail.net | 22,449 | 0.2 BTC | Bitcoin address |
| wolsec@secmail.pro | 3,516 | 0.05 BTC | Bitcoin address |
| mongodb@tfwno.gf | 839 | 0.15 BTC | Bitcoin address |
攻击者虽然不多 但攻击面更大
Gevers告诉媒体
"(新的) 攻击者的数量与年初相比下降了, 但每个攻击的破坏的服务器及数据库 的数量上升,"
"因此, 它看起来似乎有更少的攻击者, 但具有更大的影响力。
Gevers 说, 他看到的情况下, 该组劫持用户的数据库, 用户从备份中恢复数据库副本, 并且该组在同一天再次对服务器进行了赎金, 因为受害者未能正确地保护他的 db。Gevers 告诉媒体:
"现在我们需要研究到底发生了什么, 因为我们缺少信息来构建完成的过程"
这是缺乏知识吗?他们是否在不知情的情况下搞乱了 [MongoDB] 安全设置?
是否在没有安全默认值和其他漏洞的情况下运行旧版本?
今年勒索软件的攻击 让黑客和研究员一样忙
Gevers 还说, 他还必须引进一些外部专家来帮助他分析这一波庞大的 MongoDB 勒索攻击。这并不是因为 Gevers 和其他安全研究人员不能调查这些攻击, 而是因为他们已经在忙于发现和报告其他类型的易受伤害的设备, 比如 机密货币矿工、Arris modems,或物联网设备。
Gevers 是 GDI 基金会的主席, 这是一个非营利组织, 致力于保护在网上曝光的设备, 一直忙于保护各种设备, 从 AWS S3 桶到jenkins实例, 还有从 EternalBlue 到包含敏感凭据的 GitHub 信息所感染的计算机。从他们的工作内容就可以看到勒索软件针对大数据平台攻击的规模。
勒索软件攻击分析数据
点击这里下载
原文发布时间:2017年9月5日
本文由:bleepingcomputer 发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/mongodb-ransomware-attacks
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
