客勒索了23k个MongoDB数据库,并威胁要联系GDPR当局
ZDNet今天获悉,一名黑客在网上公开的22900个MongoDB数据库中上传了赎金笔记,这个数字大约占在线访问的所有MongoDB数据库的47%。
黑客正在使用一个自动脚本来扫描配置错误的MongoDB数据库,擦除其内容,并留下一张勒索便条,要求支付0.015比特币(约合140美元)。
攻击者给公司两天的时间付款,并威胁要泄露他们的数据,然后联系受害者当地的通用数据保护条例(GDPR)执法机构报告他们的数据泄露。
早在2020年4月,就已经出现了植入这张赎金单的攻击事件(阅读并恢复你的数据)。
GDI基金会的安全研究员维克多·格弗斯(Victor Gevers)今天在接受ZDNet的电话采访时表示,最初的攻击不包括数据擦除步骤。
攻击者一直连接到同一个数据库,留下赎金单,几天后再次返回,留下同一张勒索单的另一份副本。
但是Gevers今天告诉ZDNet,攻击者似乎已经意识到他们在剧本中犯了一个错误。从昨天开始,黑客已经修改了他们的脚本,现在正在清理MongoDB数据库。
“一切都过去了,”格弗斯告诉ZDNet一切。
虽然这些数据库中的一些似乎是测试实例,但Gevers说,一些生产系统也受到了攻击,现在已经删除了暂存数据。
Gevers在GDI基金会负责将服务器暴露给公司是他的职责之一。他说,今天早些时候,他在检查MongoDB系统时注意到了系统被破坏的情况,他计划报告并得到保护。
“今天,我只能报告一次数据泄露。一般情况下,我至少可以做5到10次。”
自2016年底以来,类似的袭击事件也发生过。然而,这些“MongoDB擦除和赎金”攻击本身并不是什么新鲜事。Gevers今天发现的攻击只是2016年12月开始的一系列攻击的最新阶段,当时黑客意识到他们可以通过擦除MongoDB服务器并留下赎金要求,欺骗急于取回文件的服务器所有者,从而赚大钱。
2017年1月,超过2.8万台服务器在一系列攻击中被勒索,2017年9月又发生了2.6万台,2019年2月又发生了3000台。
早在2017年,MongoDB,Inc.产品安全高级主管Davi Ottenheimer就将攻击归咎于数据库所有者,他们未能为数据库设置密码,然后在没有防火墙的情况下将服务器暴露在网络上。
差不多三年后,一切似乎都没有改变。从2017年初在线曝光的60000台MongoDB服务器来看,如今的针头几乎没有移动到48000台暴露的服务器上,其中大多数没有启用身份验证。
大多数情况下,这些服务器会在管理员遵循错误的MongoDB配置教程、在配置系统时犯下诚实的错误、或者使用随配置错误的MongoDB系统打包在一起的服务器映像而在线暴露。
目前,默认的MongoDB数据库设置带有现成的安全默认设置,但是尽管如此,我们仍然有成千上万的服务器由于某种原因每天在线暴露。对于希望以适当方式保护其MongoDB服务器的服务器管理员来说,MongoDB安全页面是获得正确建议的最佳起点。