情報セキュリティ研究者は、MongoDBがインストールされたサーバーでのランサムウェア攻撃の新しい波を報告しています。 昨年以来、26,000を超えるサーバーがハッキングされ、そのうち22,000のサーバーが1つのサイバーグループによって攻撃されました。
攻撃は研究者ディラン・カッツとビクター・ジェバーズによって気づかれました。 彼らの意見では、ハッキングはいわゆる「 MongoDB黙示録 」を継続します。これは2016年12月に始まり、2017年に数ヶ月続きました。 標準的な攻撃シナリオは次のようになりました。最初に、ハッカーはサーバーに侵入し、データベースからすべての情報を削除し、その回復のために身代金を要求しました。
攻撃されたサーバーのほとんどはテストシステムでしたが、場合によってはクラッカーが生産的なデータベースにアクセスできたため、一部の企業は身代金の支払いを余儀なくされましたが、データは返されませんでした。
新たな攻撃の波
数人の情報セキュリティ研究者が、Googleドキュメントの特別なテーブルにMongoDBに対する攻撃の統計を保持しました。黙示録の期間中、45,000以上のデータベースが破壊されました。 同時に、ランサムウェア攻撃は、ElasticSearch、Hadoop、CouchDB、Cassandra、MySQLなどの他のテクノロジーにも広がりました。
この夏、ランサムウェアの活動は衰退しましたが、先週、3つのサイバーグループが一度に新しい攻撃を開始しました。 研究者は、身代金
cru3lty@safe-mail.net
(
cru3lty@safe-mail.net
、
wolsec@secmail.pro
、
mongodb@tfwno.gf
)を送信するために使用される電子メールアドレスの数に基づいてハッカーグループの数を決定しました。
より少ない攻撃、より大きな結果
Bleeping Computerのインタビューで、Victor Zhever氏は、昨年の攻撃の波に比べてクラッカーの数は減少したが、行動の規模は拡大したと述べました。 比較のために、MongoDBに対する攻撃の最後の波の間、ハッカーは45,000台のサーバーをクラックするのに1か月かかりました。 同時に、Cru3ltyサイバーグループは、わずか1週間でこれらの数の半分に到達することができました。
Zheverによると、彼は、管理者がデータベースをバックアップから復元し、同じ日に再び攻撃を受けたときに、繰り返し攻撃されたケースを記録しました。 研究者は、なぜ攻撃が可能になるのかまだわかりません-被害者が古いバージョンのMongoDBを使用しているか、DBMSを誤って調整しているかは不明です。
MongoDBシステムのセキュリティは既知の問題です。 2015年に、Shodan検索エンジンの創設者であるJohn Matherlyが、30,000を超えるMongoDBのコピーがインターネットからアクセス制御なしで利用可能であるという調査データを公開しました 。