Злоумышленник нацелился на доступные экземпляры MongoDB в рамках автоматизированных атак с целью вымогательства данных, требуя от владельцев небольшие суммы выкупа за восстановление информации.
Атакующий использует «низко висящие плоды» — базы данных, незащищенные из-за неправильной конфигурации, которая разрешает неограниченный доступ. Было скомпрометировано около 1400 доступных серверов, а в записке с требованием выкупа запрашивалось около 500 долларов в биткоинах.
До 2021 года произошла серия атак, в результате которых были удалены тысячи баз данных, а затем требовался выкуп за восстановление информации [1, 2]. Иногда злоумышленник просто удаляет базы данных без финансовых требований.
Тестирование на проникновение, проведенное исследователями из компании по кибербезопасности Flare, показало, что эти атаки продолжаются, хотя и в меньших масштабах.
Исследователи обнаружили более 208 500 общедоступных серверов MongoDB. Из них 100 000 раскрывают оперативную информацию, а к 3100 можно было получить доступ без аутентификации.
Почти половина (45,6%) серверов с неограниченным доступом уже была скомпрометирована на момент проверки Flare. Базы данных были стерты, а на месте осталась записка с требованием выкупа.
Анализ записок с требованием выкупа показал, что в большинстве случаев требовалась оплата в размере 0,005 BTC в течение 48 часов.
«Злоумышленники требуют оплаты в биткоинах (часто около 0,005 BTC, что эквивалентно 500–600 долларам США сегодня) на указанный адрес кошелька, обещая восстановить данные», — говорится в отчете Flare.
«Однако нет никакой гарантии, что злоумышленники владеют данными или предоставят рабочий ключ дешифрования в случае оплаты».
Среди оставленных записок с требованием выкупа было всего пять различных адресов кошельков, причем один из них встречался примерно в 98% случаев, что указывает на одного злоумышленника, сосредоточенного на этих атаках.
Flare также отмечает, что оставшиеся доступные экземпляры, которые, казалось бы, не подверглись атаке, несмотря на их доступность и плохую защищенность, возможно, уже заплатили выкуп злоумышленникам.
Помимо слабых мер аутентификации, исследователи также обнаружили, что почти половина (95 000) всех доступных в интернете серверов MongoDB использует старые версии, уязвимые для известных (n-day) уязвимостей. Однако потенциал большинства из них ограничивался атаками типа «отказ в обслуживании» (DoS), не предоставляя возможности удаленного выполнения кода.
Flare рекомендует администраторам MongoDB избегать предоставления доступа к экземплярам извне, если это не абсолютно необходимо, использовать надежную аутентификацию, применять правила брандмауэра и сетевые политики Kubernetes, разрешающие только доверенные соединения, а также избегать копирования конфигураций из руководств по развертыванию.
MongoDB следует обновлять до последней версии и постоянно контролировать на предмет доступности. В случае обнаружения уязвимости необходимо сменить учетные данные и проверить журналы на наличие несанкционированной активности.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
