新闻快讯
< >

2.6万台MongoDB数据库被劫持 用户惨遭调戏

E安全9月6日讯 上周末MongoDB数据库遭遇勒索攻击,三个黑客团伙劫持了2.6万余台服务器,其中一个团伙劫持2.2万台服务器。

这些黑客组织成员在互联网上扫描开放外部连接的MongoDB数据库,清除并用勒索程序替换了数据库中的数据。

这些暴露的数据库中大多数为测试系统,但其中一部分包含重要生产数据,因此仍有一些公司最终支付了赎金。但与此前的勒索攻击不同的是,这一次用户支付了赎金并没有换回相应的数据,黑客根本就没有掌握他们的数据,用户只是被戏耍了一番。

2.6万台MongoDB数据库被劫持 用户惨遭调戏-E安全

发现此次攻击的安全研究人员狄伦·卡茨和维克多·赫韦尔斯称,这一系列攻击是“MongoDB启示录”(MongoDB Apocalypse,自2016 年12月至2017年上半年)的延续。

今年1月,MongoDB数据库再遭入侵,攻击者索要赎金以返还数据。黑客近几年一直觊觎MongoDB数据库:

  • 2015年12月,超过650TB的MongoDB数据因脆弱的数据库被暴露在互联网上。

  • 2015年12月,错误配置的MongoDB数据库暴露了1.91亿条美国选民的记录。

  • 2016年4月,132GB的MongoDB数据库暴露在网上,其中包含9340万墨西哥选民记录。

除MongoDB多个数据库未能幸免

研究人员借助Google Docs电子表格追踪攻击后发现,攻击分子总计攻破了4.5万个以上数据库,实际可能更多。

除了MongoDB,其它服务器也遭遇过勒索攻击,例如ElasticSearch、Hadoop、CouchDB、Cassandra, 和 MySQL服务器。

今年春夏季,掀起这类攻击风暴的黑客组织突然销声匿迹,被勒索的服务器数量也随之下降。

三个黑客组织暴露

上周,三支新黑客组织浮出水面,安全专家通过勒索信中使用的电子邮箱识别了黑客。

2.6万台MongoDB数据库被劫持 用户惨遭调戏-E安全

攻击数量减少质量增加

赫韦尔斯是一名经验老道的安全专家,他表示与今年年初相比,攻击者的数量虽然减少,但每起攻击给受害者带来的破坏性影响却呈上升趋势,危害更大。

在第一波MongoDB攻击中,攻击者仅用约一个月时间就攻破4.5万个数据库。Cru3lty黑客组织仅上周攻破的数据库就占其中一半。

同一天用户遭到两次攻击

赫韦尔斯发现一些特殊案例:Cru3lty黑客组织劫持了用户的数据库,用户通过备份恢复了数据库之后,在同一天又遭遇了另一次勒索攻击。

原因在于受害者未妥善保护自己的数据库。赫韦尔斯表示,信息不全尚无法解开整个谜底。是因为用户是缺乏知识?是搞混了MongoDB安全设置,而自己却不知情?还是因为在运行老旧的版本系统,而缺乏安全的默认设置或存在其它漏洞?具体原因不得而知。

安全研究人员忙得不可开交

赫韦尔斯表示,身为GDI基金会的主席。他还必须引进外部专家协助分析这起大规模的MongoDB劫持攻击。毕竟光是手头的工作就已应接不暇,例如要忙着寻找并报告其它类型的漏洞设备,例如加密货币“采矿机”、Arris调制调解器或物联网设备。

GDI基金会是一个致力于保护网络信息安全的非营利性组织,这一年来赫韦尔斯一直忙于保护各类设备安全,包括AWS S3云服务平台、Jenkins实例、“永恒之蓝”感染的电脑、包含敏感凭证的GitHub库等。

GDI基金会2017年成果见下图:

2.6万台MongoDB数据库被劫持 用户惨遭调戏-E安全

相关阅读:

MongoDB数据库再遭入侵  攻击者索要赎金返还数据
错误配置MongoDB数据库:微软招聘网站曝数据泄露安全漏洞
3.5万个MongoDB数据库暴露 680TB 数据危险!
三名大学生发现数千个MongoDB未授权访问

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。