Twee jaar na de hacker groepen begon doorzoek MongoDB databases en het verzoek om losgeld betalingen, de praktijk is nog steeds springlevend, ZDNet heeft geleerd deze week.
Terwijl de oorspronkelijke hacker groepen die begon deze trend gestopt na een paar maanden, zijn er nieuwe voortdurend kwam op de aanslagen van de afgelopen jaren, alleen om te ontdekken dat de praktijk niet zo lucratief als ze hadden gehoopt, en later, drop-out na niet het maken van winst.
Deze trend van losgeld aanvallen gericht op MongoDB servers voor het eerst begon in December 2016, wanneer hackers besefte ze konden afpersen betalingen van bedrijven die hadden hun MongoDB databases bloot op het internet.
Op het moment waren er ongeveer 60.000 MongoDB databases links blootgesteld online, zodat aanvallers had genoeg van de doelen om uit te kiezen.
Tijdens de eerste golf van aanvallen, hackers gedownloade gegevens tot hun systemen, verwijderd de gegevens op de server van het bedrijf, en liet een briefje achter met de vraag voor een losprijs in ruil voor de gegevens.
Hackers ontdekten al snel dat er veel te veel data lokaal op te slaan, en binnen enkele weken begon het verwijderen van gegevens van servers die volledig, maar nog steeds het verlaten van losgeld opmerkingen, in de hoop te verleiden een slachtoffer in het betalen van een losgeld vergoeding voor de gegevens van de hackers nooit gehad.
De eerste hacker groep (of eenzame hacker, nog onbekend) die betrokken zijn bij deze praktijk ging door de naam van Harak1r1, maar vele anderen sloten zich aan bij de aanslagen, die raken hun hoogtepunt in de eerste helft van 2017.
De aanvallen werden bekend als de MongoDB Apocalypse, met hackers doorzoek meer dan 28.000 servers in slechts twee maanden aan het begin van 2017.
Hackers ook gediversifieerd, en van MongoDB, uitgebreid tot doel blootgesteld andere systemen, zoals ElasticSearch, Hadoop, CouchDB, Cassandra, en MySQL servers.
Dutch security-onderzoeker Victor Gevers is een van de beveiligingsonderzoekers die bijgehouden de MongoDB losgeld aanvallen sinds de get-go. Voor de afgelopen twee jaar, hij bleef track van deze hacker groepen en hun aanvallen in een Google Docs-bestand hij terug in het begin 2017.
In een interview eerder deze week, Gevers vertelde ZDNet dat de aanslagen waren nog steeds aan de gang. Alleen in de loop van de laatste maand, Gevers zegt hij zag drie nieuwe hacker groepen.
Deze drie nieuwe spelers weten te plunderen bijna 3.000 MongoDB databases, operating gebaseerd op dezelfde techniek als de eerste aanvallen –verbinding met databases verlaten zonder een wachtwoord verwijderen van gegevens, en het verlaten van een losgeld opmerking achter.
Gevers vertelde ZDNet dat deze groepen “onhandig” dan in het verleden hackers. “De meeste van de tijd zijn ze vergeten om de database verwijderen,” Gevers zei. Misschien is dat de reden waarom twee van hen hadden geen geld van hun losgeld eisen, terwijl de derde nauwelijks verzameld $200 in de desbetreffende Bitcoin adres.
“Het is duidelijk dat iemand verkocht een toolkit als elke aanval lijkt hetzelfde als anderen,” Gevers zei. “Alleen de e-mail, Bitcoin adres, en het rantsoen opmerking verschillen.”
Terug in 2017, Davi Ottenheimer, Senior Director van de Beveiliging van het Product in MongoDB, Inc., de schuld van de aanslagen –en terecht– op de database-eigenaren die niet aan het instellen van een wachtwoord voor de admin-accounts.
Dingen die niet lijken te veel veranderd sindsdien. Gevers zegt deze recente aanvallen op alle versies van MongoDB, ook de nieuwe, wat betekent dat de problemen met gebruikers niet instellen van een wachtwoord hebben voortgezet.
“Ik zie wel dat de eigenaren zijn het creëren van meer MongoDB gebruikers (zoals het moet), maar het gaat om het vergrendelen van het geheel is nog steeds een uitdaging voor een paar,” Gevers zei.
De MongoDB gids vanaf 2017 op de beveiliging van databases van losgeld aanvallen is nog steeds de eerste plaats om te gaan voor server-eigenaren op zoek naar verbetering van hun beveiligingsstatus.
Meer zekerheid:
Pentesters schending 92 procent van de bedrijven, rapport claimsChina gehackt noorse Visma software providerScammer groepen zijn het benutten van Gmail ‘punt ‘ accounts’ voor online fraudJapanese regering is van plan om hack in burgers’ IoT apparaten
MongoDB “open-source” Server Side Public License afgewezen
Hacker groep maakt gebruik van Google Translate te verbergen phishing sitesCyber veiligheid is grootste zorg’ in de Senaat bedreigingen horen CNET
Phishing en spearphishing: Een cheat sheet for business professionals TechRepublic
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO