Angribere, der hævder at besidde en kopi af de data, der kan gendannes til mellem 0,2 BTC og 1BTC, men der er ingen garanti for, at det faktisk er til rådighed.
Billede: Victor Gevers/Twitter
Titusinder af dårligt konfigureret MongoDB databaser der har været indbrud i den seneste uge, med fjernangribere at tørre data og krævende op til en bitcoin til at returnere det.
Victor Gevers, fra Holland-baseret GDI Foundation, og Niall Merrigan, Norge-baserede udvikler, har været at spore en stigning i angreb på MongoDB anlæg, hvor en håndfuld grupper, er at tørre sårbare databaser og erstatte dem med en tom database med navne som ‘ADVARSEL’, ‘PWNED’, og ‘PLEASE_READ’.
Angriberne hævder at besidde et eksemplar, der kan købes for mellem 0,2 BTC og 1BTC, men der er ingen garanti for, at data rent faktisk er til rådighed, hvis en betaling er foretaget.
Ifølge Merrigan, omkring 27.000 MongoDB servere er blevet kompromitteret på den sidste dag, op fra en anslået 2.000 on januar 3, og 8,542 på 5 januar.
MongoDB er et populært open source-NoSQL-database, som anvendes meget for big data og analytics. På DB-Motorer Placering af databasen popularitet, og det står i fjerde spot ud af 315 systemer, bag kun Oracle, MySQL og Microsoft SQL Server.
På den aktuelle tæller, og mere end en fjerdedel af 99,000 MongoDB tilfælde åbne for internettet er blevet kompromitteret.
Løsepenge-angribere er rettet mod lavt-hængende frugter, nemlig MongoDB tilfælde, hvor der ikke er password-beskyttet admin konti.
Den pludselige stigning i angreb, der kan henføres til copycat grupper, der kæmper for et stykke af aktionen. Den første registrerede angreb fandt sted i midten af December med betalinger, som skal have gjort til en person ved hjælp af navn, Harak1r1.
Nu er der over en halv snes grupper, der bruger deres egen e-mail-adresse og bitcoin tegnebøger, i henhold til et regneark, der vedligeholdes af Gevers og Merrigan. De mest aktive angriber, Kraken0, har kompromitteret 15,482 databaser og er krævende 1BTC til at returnere slettet data.
De to forskere siger, at de har hjulpet mere end 100 organisationer, hvis databasen er blevet ramt af løsepenge angribere.
Merrigan fortalte Bleeping Computer MongoDB angreb var en “gold rush”, med forskellige grupper udskiftning af hinandens løsesum noter.
MongoDB er direktør for produkt-sikkerhed, Andreas Nilsson, har offentliggjort en liste over aktioner, som administratorer kan bruge til at forhindre angreb. Som med de fleste ransomware angreb, Nilsson understregede vigtigheden af sikkerhedskopiering af data.
“Hvis du kan tage regelmæssige sikkerhedskopier af kompromitteret database, kan du gendanne den seneste backup… Hvis du ikke har en backup eller på anden måde ude af stand til at gendanne data, desværre, at dine data kan være gået tabt,” skrev han.
“Du bør antage, at angriberen har en kopi af alle data fra de berørte database,” tilføjede han.