Bilgisayar korsanı 23 bin MongoDB veri tabanını fidye olarak ele geçirdi ve GDPR yetkilileriyle iletişime geçmekle tehdit etti

Bir bilgisayar korsanı, çevrimiçi ortamda açığa çıkan 22.900 MongoDB veritabanına şifre olmadan fidye notları yükledi. ZDNet'in bugün öğrendiğine göre bu sayı, çevrimiçi olarak erişilebilen tüm MongoDB veritabanlarının yaklaşık %47'sini oluşturuyor.

Bilgisayar korsanı, yanlış yapılandırılmış MongoDB veritabanlarını taramak için otomatik bir komut dosyası kullanıyor, içeriklerini siliyor ve arkasında 0,015 bitcoin (~ 140 $) ödeme isteyen bir fidye notu bırakıyor.

Saldırgan, şirketlere ödeme yapmaları için iki gün süre veriyor ve verilerini sızdırmakla tehdit ediyor ve ardından mağdurun yerel Genel Veri Koruma Yönetmeliği (GDPR) icra makamına verilerini bildirmesi için sızıntı.

Bu fidye notunu (READ_ME_TO_RECOVER_YOUR_DATA) yerleştiren saldırılar Nisan 2020 gibi erken bir tarihte görüldü.

Bugün ZDNet ile yaptığımız telefon görüşmesinde, Victor GeversGDI Vakfı güvenlik araştırmacısı, ilk saldırıların veri silme adımını içermediğini söyledi.

Saldırgan aynı veritabanına bağlanmaya devam etti, fidye notunu bıraktı ve birkaç gün sonra aynı fidye notunun başka bir kopyasını bırakmak için tekrar geri döndü.

Ama Gevers söyledi ZDNet Bugün saldırgan senaryosunda bir hata yaptığını fark etmiş görünüyor. Dünden bu yana, bilgisayar korsanı komut dosyasını düzeltti ve şimdi MongoDB veritabanlarını tamamen siliyor.

Gevers, "Hepsi gitti" dedi ZDNet. "Her şey."

Bu veritabanlarından bazıları test örnekleri gibi görünse de Gevers, bazı üretim sistemlerinin de etkilendiğini ve artık aşama verilerinin silindiğini söyledi.

GDI Vakfı'ndaki görevleri kapsamında sunucuların şirketlere ifşa edildiğini bildiren Gevers, şunları kaydetti: Bugün erken saatlerde MongoDB sistemlerini kontrol ederken silinen sistemleri rapor etmesi ve güvenceye alması planlandı.

"Bugün yalnızca bir veri sızıntısını bildirebildim. Normalde en az 5 ila 10 arası yapabilirim" dedi Gevers. ZDNet.

Benzer saldırılar 2016'nın sonlarından bu yana yaşanıyor

Ancak bu "MongoDB silme ve fidye" saldırıları başlı başına yeni değil. Gevers'ın bugün tespit ettiği saldırılar, bilgisayar korsanlarının fark ettiği Aralık 2016'da başlayan bir dizi saldırının sadece son aşaması. MongoDB sunucularını silerek ve arkalarında fidye talebi bırakarak, dosyalarını almak için çaresiz kalan sunucu sahiplerini kandırarak ciddi para kazanabilirler. geri.

Bundan fazla 28.000 sunucu Ocak 2017'deki bir dizi saldırıda fidye alındı Eylül 2017'de 26.000 kişi daha, ve sonra bir tane daha Şubat 2019'da 3.000.

2017 yılında MongoDB, Inc.'in Ürün Güvenliği Kıdemli Direktörü Davi Ottenheimer, saldırılardan veritabanını sorumlu tutmuştu ve haklı olarak da öyle. veritabanları için şifre belirleyemeyen sahiplerve ardından sunucularını güvenlik duvarı olmadan çevrimiçi olarak açıkta bıraktılar.

Neredeyse üç yıl sonra hiçbir şey değişmemiş gibi görünüyor. 2017'nin başlarında çevrimiçi olarak açıkta bırakılan 60.000 MongoDB sunucusundan bugün, çoğu kimlik doğrulaması etkin olmayan 48.000 açıkta kalan sunucuya zar zor geçti.

Çoğu zaman bu sunucular, yöneticilerin yanlış MongoDB yapılandırma eğitimlerini takip etmesinden sonra çevrimiçi olarak açığa çıkar. sistemlerini yapılandırırken dürüst hatalar yapmak veya yanlış yapılandırılmış bir MongoDB sistemiyle birlikte gelen sunucu görüntülerini kullanmak kutu.

Bugünkü varsayılan MongoDB veritabanı kurulumu, kutudan çıktığı haliyle güvenli varsayılanlarla birlikte gelir, ancak buna rağmen, biz hala tek bir nedenden dolayı günlük olarak çevrimiçi ortamda açığa çıkan on binlerce sunucumuz var veya bir diğer. MongoDB sunucularını doğru şekilde güvence altına almak isteyen sunucu yöneticileri için MongoDB Güvenlik sayfası doğru tavsiyeyi almaya başlamak için en iyi yerdir.