Хакеры-вымогатели взломали более 26 000 серверов MongoDB

    image

    Исследователи информационной безопасности сообщили о новой волне атак хакеров-вымогателей на серверы с установленной MongoDB. Начиная с прошлой надели было взломано более 26 000 серверов, причем 22 000 из них были атакованы одной кибергруппой.

    Атаки заметили исследователи Дилан Катц (Dylan Katz) и Виктор Жевер (Victor Gevers). По их мнению взломы продолжают так называемый «апокалипсис MongoDB», который начался в декабре 2016 года и продолжался несколько месяцев в 2017 году — тогда хакеры атаковали плохо настроенные серверы MongoDB, администраторы которых не запретили внешние подключения к ним. Стандартный сценарий атак выглядел так: сначала хакеры проникали на сервер, удаляли всю информации из базы данных и требовали выкуп за ее восстановление.

    Большинство атакованных серверов представляли собой тестовые системы, однако в некоторых случаях взломщикам удалось получить доступ к продуктивным базам данных — поэтому некоторые компании были вынуждены заплатить выкуп, однако данные им никто не вернул.

    Новая волна атак


    Несколько ИБ-исследователей вели статистику атак на MongoDB в специальной таблице в Google-документах — в ходе «Апокалипсиса» всего было уничтожено более 45 000 баз. При этом, атаки вымогателей распространились и на другие технологии — например, ElasticSearch, Hadoop, CouchDB, Cassandra и MySQL.

    Летом этого года активность вымогателей пошла на убыль, однако на прошлой неделе сразу три кибергруппировки начали проводить новые атаки. Число групп хакеров исследователи определили на основании количества email-адресов, использованных при отправки требований о выкупе (cru3lty@safe-mail.net, wolsec@secmail.pro, mongodb@tfwno.gf) — хотя эксперты Positive Technologies считают такой метод подсчетов сомнительным.

    Меньше атак, масштабнее последствия


    В интервью изданию Bleeping Computer Виктор Жевер заявил, что количество взломщиков по сравнению с волной атак прошлого года сократилось, однако масштабы их действий увеличились — среднее число жертв одной атаки выросло в разы. Для сравнения, во время прошлой волны атак на MongoDB у хакеров ушел месяц на взлом 45 000 серверов. При этом теперь кибегруппировка Cru3lty смогла достичь половины от этих цифр всего за неделю.

    По словам Жевера, он зафиксировал даже случаи повторных атак, когда администратор восстанавливал базу данных из бэкапов, а затем в тот же день ее атаковали снова. Исследователь пока не уверен в том, почему атаки становятся возможными — непонятно используют ли жертвы устаревшую версию MongoDB или некорректно настраивают СУБД.

    Защищенность систем MongoDB — известная проблема. Еще в 2015 году основатель поисковика Shodan Джон Мэзерли (John Matherly) публиковал данные исследований, согласно которым более 30000 экземпляров MongoDB были доступны из интернета без контроля доступа.
    Positive Technologies 190,01
    Компания
    Поделиться публикацией

    Вакансии компании Positive Technologies

    Комментарии 10
    • +1

      Не совсем понимаю, причем тут проблема именно mongodb? Например, дефолтный образ postgres для docker имеет абсолютно такую же проблему :)


      Более того, для elasticsearch вообще нельзя ничего сделать в этом плане. Только купить платный x-pack.

      • +1
        Любые проблемы доступа лечатся фаерволом. elasticsearch не исключение.
        • 0

          Кроме тех случаев, когда вы не очень опытный админ, а у вас на одном хосте iptables, docker и еще какой-то друг)

          • 0
            Большинство экземпляров запущено в AWS, где надо специально открывать порты для доступа извне. Так что проблема скорее в оптимизации за счёт отказа от VPC и нежелания создавать правила для каждого нового клиента.
          • 0
            elasticsearch можно повесить на 127.0.0.1 а для внешнего взаимодействия, с сайтом или другой нодой, пустить через nginx и уже им порезать доступ по ip, а от nginx еще и выигрышь получите за счет поддержания подключений к еластику.
        • 0
          Часто на проектах нет никаких админов. А многим разработчикам в голову не приходит, что настройки по умолчанию могут быть настолько идиотскими. Ожидаешь, что по умолчанию сервис слушает только 127.0.0.1, а тут такая засада.
          • +2
            Простите, а почему:
            > Ожидаешь, что по умолчанию сервис слушает только 127.0.0.1
            Если сервис предполагает сетевое взаимодействие, то логичнее ожидать дефолтного listen 0.0.0.0, разве нет?
            • 0
              Большинство сайтов они либо на дев машине, либо полностью на одной VDS. Сетевого взаимодействия не предполагается. А если и предполагается, то как минимум нужно настраивать файрвол, с каикх адресов разрешено обращаться. Инструменты более старые обычно придерживаются правила — по умолчанию 127.0.0.1 (в новых версиях монги слышал что также), а вот новые модные штуки mongo, elastic, redis и т.п. пошли своим путем и теперь уже несколько лет мы слышим о массовых взломах этих систем.
              • 0
                а вот новые модные штуки mongo, elastic, redis и т.п.

                Это распределённые системы, которые нужен доступ в сеть для связи с другими экземплярами.
                • 0

                  странно, что "новые модные" по умолчанию не слушают fe80:: адреса, раз уж новые и модные. ;)

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое