To år efter hacker grupper begyndte plyndringen MongoDB databaser og bede om løsepenge betalinger, den praksis, der er stadig meget levende, ZDNet har lært i denne uge.
Mens den oprindelige hacker-grupper, der startede denne trend har stoppet efter et par måneder, og nye er hele tiden kom med i om de angreb, der i løbet af de sidste par år, kun for at opdage, at den praksis ikke er så indbringende som de kunne have håbet, og senere droppe ud efter at have undladt at gøre et eventuelt overskud.
Denne tendens til løsesum angreb mod MongoDB servere først begyndte i December 2016, når hackere indså, at de kunne presse betalinger fra virksomheder, der havde forladt deres MongoDB databaser eksponeret på internettet.
På det tidspunkt var der 60.000 MongoDB databaser venstre udsat online, så angriberne havde masser af mål til at vælge fra.
I løbet af den første bølge af angreb, at hackere har hentet data på deres systemer, slettes data på virksomhedens server, og efterlod en note bag beder om en løsesum i bytte for data.
Hackere indså hurtigt, at der var alt for meget data for at gemme lokalt, og inden for få uger begyndte sletning af data fra servere direkte, men stadig efterlader løsesum noter, i håb om at narre offeret til at betale en løsesum gebyr for data hackere aldrig haft.
Den første hacker-gruppen (eller lone hacker, stadig ukendt), der er engageret i praksis gik ved navn Harak1r1, men mange andre sluttede angreb, der ramte deres højdepunkt i første halvdel af 2017.
De angreb, der blev kendt som MongoDB Apocalypse, med hackere, der ransager over 28.000 servere på bare to måneder i starten af 2017.
Hackere også diversificeret, og fra MongoDB, de udvidet til at målrette andre udsatte systemer, såsom ElasticSearch, Hadoop, Gkbd, Cassandra, og MySQL servere.
Hollandsk sikkerhedsekspert Victor Gevers har været en af de sikkerhedseksperter, der sporede MongoDB løsesum angreb, siden get-go. For de seneste to år, han fortsatte med at spore disse hacker grupper og deres angreb i et Google Docs dokument, han har sat op tilbage i begyndelsen af 2017.
I et interview tidligere i denne uge, Gevers fortalte ZDNet, at de angreb, der stadig var i gang. Alene i løbet af sidste måned, Gevers siger, at han øje på tre nye hacker grupper.
Disse tre nye spillere formåede at ransage næsten 3.000 MongoDB databaser, der opererer baseret på samme teknik som den første angreb –tilslutning til databaser, der er efterladt uden en adgangskode, sletning af data, og efterlader en løsesum note bag.
Gevers fortalte ZDNet, at disse grupper er mere “klodset” end tidligere hackere. “De fleste af den tid, de glemmer at slette databasen,” Gevers sagde. Måske er det derfor, at to af dem ikke gør nogen penge fra deres krav om løsepenge, mens den tredje knap indsamlet $200 på deres respektive Bitcoin adresse.
“Det er klart, at en person, der sælges en værktøjskasse, som hvert angreb ligner det samme som andre,” Gevers sagde. “Kun den e-mail, Bitcoin adresse, og løsepenge, venligst være forskellige.”
Tilbage i 2017, Davi Ottenheimer, Senior Direktør for Produkt-Sikkerhed ved MongoDB, Inc., skylden for angrebene-og med rette-på database-ejere, der har undladt at angive en adgangskode for deres admin konti.
Ting, der ikke synes at have ændret sig meget siden da. Gevers siger, at de seneste angreb har ramt alle versioner af MongoDB, selv de nye, hvilket betyder, at problemer med brugere undlade at oprette en admin password, er fortsat.
“Jeg kan godt se, at ejerne er at skabe flere Cvs-brugere (som de burde), men låser ned, er det udelukkende er stadig udfordrende for et par,” Gevers sagde.
Den MongoDB guide fra 2017 om sikkerhed databaser fra løsesum angreb er stadig det første sted at gå til server ejere søger at forbedre deres sikkerhedssituation.
Mere sikkerhed dækning:
Pentesters brud 92 procent af virksomhederne, rapport claimsChina hacket Norges Visma software providerScammer grupper udnytter Gmail ‘dot regnskab for online fraudJapanese regering har planer om at bryde ind i borgernes enheder, tingenes internet
MongoDB “open-source” Server Side Public License afvist
Hacker-gruppen bruger Google Translate til at skjule phishing sitesCyber sikkerhed er ‘største bekymring” i Senatet trusler høre CNET
Phishing og spearphishing: Et cheat sheet for professionelle, TechRepublic
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO