下载 | 勒索软件又攻击MongoDB数据库 2.6万台服务器4.5万个数据库被加密

上周对 MongoDB 数据库的勒索攻击重燃战火, 三个新的团伙劫持了2.6万台服务器, 其中一个团伙劫持了2.2万台。

MongoDB启示录攻击活动从去年年底就开始了

攻击是由安全研究人员 Dylan Katz 和 Victor Gevers 发现的，据说是 MongoDB Apocalypse（MongoDB 启示录）的延续,这个攻击始于2016年12月下旬, 并延续到2017年的前几个月。在这些攻击中, 多个黑客扫描了互联网上的 MongoDB 数据库开放的外部连接, 加密他们的内容, 并要求支付赎金。

这些暴露的数据库大多是测试系统, 但也有一些包含了生产数据，最后有一些公司支付了赎金, 但发现还是被骗了，攻击者根本就没有他们的数据。

又出现新一波MongoDB数据库攻击行动

一些安全研究人员用 Google 文档电子表格跟踪了这些攻击。总体而言, 近两个月来攻击者破坏了超过4.5万数据库, 甚至更多。这些攻击从 MongoDB开始, 逐步蔓延到其他服务器技术, 如 ElasticSearch , Hadoop , CouchDB, Cassandra和 MySQL 服务器。

从附件的数据中还可以看到中国的服务器数据

在春季和夏季, 参与这些攻击的黑客团体逐渐减少, 被勒索软件攻击的服务器数量也随之下降。直到上周, 三个新的团伙又出现了, 这是根据他们在勒索信息中留下的电子邮件地址进行的归类识别。

攻击者虽然不多  但攻击面更大

Gevers告诉媒体

"(新的) 攻击者的数量与年初相比下降了, 但每个攻击的破坏的服务器及数据库 的数量上升,"

"因此, 它看起来似乎有更少的攻击者, 但具有更大的影响力。

Gevers 说, 他看到的情况下, 该组劫持用户的数据库, 用户从备份中恢复数据库副本, 并且该组在同一天再次对服务器进行了赎金, 因为受害者未能正确地保护他的 db。Gevers 告诉媒体:

"现在我们需要研究到底发生了什么, 因为我们缺少信息来构建完成的过程"

这是缺乏知识吗？他们是否在不知情的情况下搞乱了 [MongoDB] 安全设置？

是否在没有安全默认值和其他漏洞的情况下运行旧版本？

今年勒索软件的攻击 让黑客和研究员一样忙

Gevers 还说, 他还必须引进一些外部专家来帮助他分析这一波庞大的 MongoDB 勒索攻击。这并不是因为 Gevers 和其他安全研究人员不能调查这些攻击, 而是因为他们已经在忙于发现和报告其他类型的易受伤害的设备, 比如 机密货币矿工、Arris modems,或物联网设备。

Gevers 是 GDI 基金会的主席, 这是一个非营利组织, 致力于保护在网上曝光的设备, 一直忙于保护各种设备, 从 AWS S3 桶到jenkins实例, 还有从 EternalBlue 到包含敏感凭据的 GitHub 信息所感染的计算机。从他们的工作内容就可以看到勒索软件针对大数据平台攻击的规模。

勒索软件攻击分析数据

点击这里下载

原文发布时间：2017年9月5日

本文由：bleepingcomputer 发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/mongodb-ransomware-attacks

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站