Två år efter hacker grupper började länsat MongoDB databaser och begär lösen betalningar, i praktiken är fortfarande mycket levande, ZDNet har lärt mig den här veckan.
Medan den ursprungliga hacker grupper som startade denna trend har slutat efter några månader, nya har hela tiden gått in på attacker under de senaste åren, bara för att upptäcka att den praxis som inte är lika lukrativa som de kanske hade hoppats, och senare, släppa ut efter att ha misslyckats med att göra några vinster.
Denna trend av lösen attacker mot MongoDB servrar började först i December 2016, när hackare insåg att de skulle kunna pressa betalningar från företag som hade lämnat sina MongoDB databaser som exponeras på internet.
På den tiden fanns det ungefär 60 000 MongoDB databaser vänster utsatta på nätet, så att angriparna hade massor av mål att välja mellan.
Under den första vågen av attacker, hackare ner data till deras system, raderas uppgifterna på företagets server, och lämnade en not bakom ber om en lösen i utbyte mot data.
Hackare insåg snabbt att det var alldeles för mycket data för att spara lokalt, och inom några veckor började ta bort data från servrar direkt, men ändå lämnar lösen anteckningar i hopp om att lura offer till att betala en lösen avgift för data-hackers aldrig haft.
Den första hacker-gruppen (eller ensamstående hacker, fortfarande okända) som är engagerad i praktiken gick under namnet Harak1r1, men många andra anslöt sig attackerna, som nådde sin höjdpunkt under första hälften av 2017.
Attackerna blev känd som MongoDB Apokalyps, med hackare länsat över 28 000 servrar i bara två månader i början av 2017.
Hackare är också diversifierad, och från MongoDB, de expanderade att rikta andra utsatta system, såsom ElasticSearch, Hadoop, CouchDB, Cassandra, och MySQL servrar.
Holländska säkerhet forskare Victor Gevers har varit en av den säkerhetsforskare som spårade MongoDB lösen attacker eftersom get-go. Under de senaste två åren, han fortsatte att följa dessa hacker grupper och deras attacker i ett Google Docs filen var han tillbaka i början av 2017.
I en intervju tidigare i veckan, Gevers berättade ZDNet att de attacker som fortfarande var pågående. Bara under förra månaden, Gevers, säger han såg tre nya hacker grupper.
Dessa tre nya spelare lyckades plundra nästan 3 000 MongoDB databaser, operativsystem som bygger på samma teknik som den inledande attacker –anslutning till databaser vänster utan ett lösenord, ta bort data och lämnar en gisslan anteckning bakom.
Gevers berättade ZDNet att dessa grupper är “mer klumpig än tidigare hackare. “De flesta av den tid de glömmer att ta bort databasen,” Gevers sagt. Kanske är det anledningen till att två av dem inte kommer att göra några pengar från deras lösen krav, medan den tredje knappt samlats in $200 i sina respektive Bitcoin-adress.
“Det är klart att någon sålde en verktygslåda som varje attack ser ut som samma som de andra,” Gevers sagt. “Bara e-post, Bitcoin-adress och lösen not skiljer sig åt.”
Tillbaka i 2017, Davi Ottenheimer, Senior Director of Product Security på MongoDB, Inc., skyllde attacker –och rättmätigt så– på databasens ägare som misslyckades med att ställa in ett lösenord för deras admin-konton.
Saker och ting verkar inte ha förändrats mycket sedan dess. Gevers säger att den senaste tidens attentat har drabbat alla versioner av MongoDB, även de nya, vilket innebär problem med att användare inte har inrättat ett administratörslösenord har fortsatt.
“Jag ser att ägarna är att skapa mer MongoDB användare (som de ska) men låsning ner det helt och hållet är fortfarande utmanande för ett par,” Gevers sagt.
Den MongoDB guide från och med 2017 på security-databaser från lösen attacker är fortfarande det första stället att gå för server ägare som vill förbättra sin säkerhet hållning.
Mer trygghet:
Pentesters brott 92 procent av företag, rapport claimsChina hackad Norges Visma cloud software providerScammer grupper utnyttjar Gmail dot-konton för online fraudJapanese regeringens planer på att hacka sig in i medborgarnas IoT enheter
MongoDB “open-source” Server Side Public License avvisas
Hacker gruppen använder Google Translate för att dölja phishing sitesCyber säkerhet är “stor oro” i Senaten hot höra CNET
Phishing och spearphishing: En lathund för affärsmän TechRepublic
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO