2.6萬台MongoDB資料庫被劫持 用戶慘遭調戲

E安全9月6日訊 上周末MongoDB資料庫遭遇勒索攻擊，三個黑客團伙劫持了2.6萬餘台伺服器，其中一個團伙劫持2.2萬台伺服器。

這些黑客組織成員在互聯網上掃描開放外部連接的MongoDB資料庫，清除並用勒索程序替換了資料庫中的數據。

這些暴露的資料庫中大多數為測試系統，但其中一部分包含重要生產數據，因此仍有一些公司最終支付了贖金。但與此前的勒索攻擊不同的是，這一次用戶支付了贖金並沒有換回相應的數據，黑客根本就沒有掌握他們的數據，用戶只是被戲耍了一番。

發現此次攻擊的安全研究人員狄倫·卡茨和維克多·赫韋爾斯稱，這一系列攻擊是「MongoDB啟示錄」（MongoDB Apocalypse，自2016 年12月至2017年上半年）的延續。

今年1月，MongoDB資料庫再遭入侵，攻擊者索要贖金以返還數據。黑客近幾年一直覬覦MongoDB資料庫：

• 2015年12月，超過650TB的MongoDB數據因脆弱的資料庫被暴露在互聯網上。

• 2015年12月，錯誤配置的MongoDB資料庫暴露了1.91億條美國選民的記錄。

• 2016年4月，132GB的MongoDB資料庫暴露在網上，其中包含9340萬墨西哥選民記錄。

除MongoDB多個資料庫未能倖免

研究人員藉助Google Docs電子表格追蹤攻擊後發現，攻擊分子總計攻破了4.5萬個以上資料庫，實際可能更多。

除了MongoDB，其它伺服器也遭遇過勒索攻擊，例如ElasticSearch、Hadoop、CouchDB、Cassandra, 和 MySQL伺服器。

今年春夏季，掀起這類攻擊風暴的黑客組織突然銷聲匿跡，被勒索的伺服器數量也隨之下降。

上周，三支新黑客組織浮出水面，安全專家通過勒索信中使用的電子郵箱識別了黑客。

攻擊數量減少質量增加

赫韋爾斯是一名經驗老道的安全專家，他表示與今年年初相比，攻擊者的數量雖然減少，但每起攻擊給受害者帶來的破壞性影響卻呈上升趨勢，危害更大。

在第一波MongoDB攻擊中，攻擊者僅用約一個月時間就攻破4.5萬個資料庫。Cru3lty黑客組織僅上周攻破的資料庫就占其中一半。

赫韋爾斯發現一些特殊案例：Cru3lty黑客組織劫持了用戶的資料庫，用戶通過備份恢復了資料庫之後，在同一天又遭遇了另一次勒索攻擊。

原因在於受害者未妥善保護自己的資料庫。赫韋爾斯表示，信息不全尚無法解開整個謎底。是因為用戶是缺乏知識？是搞混了MongoDB安全設置，而自己卻不知情？還是因為在運行老舊的版本系統，而缺乏安全的默認設置或存在其它漏洞？具體原因不得而知。

安全研究人員忙得不可開交

赫韋爾斯表示，身為GDI基金會的主席。他還必須引進外部專家協助分析這起大規模的MongoDB劫持攻擊。畢竟光是手頭的工作就已應接不暇，例如要忙著尋找並報告其它類型的漏洞設備，例如加密貨幣「採礦機」、Arris調製調解器或物聯網設備。

GDI基金會是一個致力於保護網路信息安全的非營利性組織，這一年來赫韋爾斯一直忙於保護各類設備安全，包括AWS S3雲服務平台、Jenkins實例、「永恆之藍」感染的電腦、包含敏感憑證的GitHub庫等。

GDI基金會2017年成果見下圖：

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！