Angriparna anspråk på att ha en kopia av data som kan återställas till mellan 0,2-KUND och 1BTC, men det är ingen garanti att det är faktiskt är tillgängliga.
Bild: Victor Gevers/Twitter
Tiotusentals av dåligt konfigurerade MongoDB databaser har äventyrats under den senaste veckan, med angriparna torka data och kräver upp till en bitcoin för att lämna tillbaka den.
Victor Gevers, från Nederländerna-baserade GDI Foundation, och Niall Merrigan, en Norge-baserade utvecklaren, har varit att följa en våg av attacker på MongoDB anläggningar i vilka en handfull grupper är att torka utsatta databaser och ersätta dem med en tom databas med namn som “VARNING”, ‘PWNED” och “PLEASE_READ’.
Angriparna anspråk på att ha en kopia som kan köpas för mellan 0,2-KUND och 1BTC, men det finns ingen garanti för de uppgifter som faktiskt finns tillgängligt om en betalning är gjord.
Enligt Merrigan, lite drygt 27 000 MongoDB servrar har äventyrats under de senaste dagen, upp från uppskattningsvis 2.000 den 3 januari och 8,542 den 5 januari.
MongoDB är en populär öppen källkod NoSQL-databas, som används för big data och analys. På DB-Motorer Ranking av databasen popularitet det står på fjärde plats av 315 system, bakom endast Oracle, MySQL och Microsoft SQL Server.
På den nuvarande greven, mer än en fjärdedel av 99,000 MongoDB fall öppna för att internet har blivit utsatta för intrång.
Lösen attacker är riktade lågt hängande frukt, nämligen MongoDB instanser som inte har lösenord-skyddat admin-konton.
Plötslig stegring i-attacker kan hänföras till copycat grupper trängs för en bit av åtgärden. Den första dokumenterade attacker inträffade i mitten av December med betalningar som förefaller att ha gjorts till någon som använder namnet, Harak1r1.
Nu finns över ett dussin grupper som använder sin egen e-postadress och bitcoin plånböcker, enligt ett kalkylblad som upprätthålls av Gevers och Merrigan. De mest aktiva angripare, Kraken0, har äventyrat 15,482 databaser och är krävande 1BTC att returnera torkas data.
De två forskarna säger att de har hjälpt mer än 100 organisationer vars databas har drabbats av lösen angripare.
Merrigan berättade Bleeping Dator MongoDB attacker var en “gold rush”, med olika grupper som ersätter alla andra’ lösen anteckningar.
MongoDB är direktör för produkt säkerhet, Andreas Nilsson, har publicerat en lista över åtgärder som administratörer kan använda för att förhindra attacker. Som med de flesta ransomware attacker, Nilsson betonade vikten av att säkerhetskopiera data.
“Om du tar regelbundet säkerhetskopior av den infekterade-databas, kan du återställer du den senaste säkerhetskopian… Om du inte har en säkerhetskopia eller på annat sätt inte kan återställa data, tyvärr dina uppgifter kan vara permanent,” skrev han.
“Du bör anta att angriparen har en kopia av alla data från de drabbade databas,” tillade han.