上周對 mongodb 資料庫的勒索攻擊重燃戰火, 三個新的團夥劫持了2.6萬台伺服器, 其中一個團夥劫持了2.2萬台。
攻擊是由安全研究人員 dylan katz 和 victor gevers 發現的,據說是 mongodb apocalypse(mongodb 啟示錄)的延續,這個攻擊始于2016年12月下旬, 并延續到2017年的前幾個月。在這些攻擊中, 多個黑客掃描了網際網路上的 mongodb 資料庫開放的外部連接配接, 加密他們的内容, 并要求支付贖金。
這些暴露的資料庫大多是測試系統, 但也有一些包含了生産資料,最後有一些公司支付了贖金, 但發現還是被騙了,攻擊者根本就沒有他們的資料。
從附件的資料中還可以看到中國的伺服器資料
在春季和夏季, 參與這些攻擊的黑客團體逐漸減少, 被勒索軟體攻擊的伺服器數量也随之下降。直到上周, 三個新的團夥又出現了, 這是根據他們在勒索資訊中留下的電子郵件位址進行的歸類識别。
email address
victims
ransom demand
bitcoin address
22,449
0.2 btc
<a href="https://blockchain.info/address/1congo1xrhch3k6l1ywl4u1khuc7xyqgqu" target="_blank">bitcoin address</a>
3,516
0.05 btc
<a href="https://blockchain.info/address/1mk61q8squw8wjswp3qeayl6pu9tr1cro9" target="_blank">bitcoin address</a>
839
0.15 btc
<a href="https://blockchain.info/address/1e7tctpccwd1wpyfhxrgbnecfaezmjzghg" target="_blank">bitcoin address</a>
gevers告訴媒體
"(新的) 攻擊者的數量與年初相比下降了, 但每個攻擊的破壞的伺服器及資料庫 的數量上升," "是以, 它看起來似乎有更少的攻擊者, 但具有更大的影響力。
gevers 說, 他看到的情況下, 該組劫持使用者的資料庫, 使用者從備份中恢複資料庫副本, 并且該組在同一天再次對伺服器進行了贖金, 因為受害者未能正确地保護他的 db。gevers 告訴媒體:
"現在我們需要研究到底發生了什麼, 因為我們缺少資訊來建構完成的過程" 這是缺乏知識嗎?他們是否在不知情的情況下搞亂了 [mongodb] 安全設定? 是否在沒有安全預設值和其他漏洞的情況下運作舊版本?
gevers 還說, 他還必須引進一些外部專家來幫助他分析這一波龐大的 mongodb 勒索攻擊。這并不是因為 gevers 和其他安全研究人員不能調查這些攻擊, 而是因為他們已經在忙于發現和報告其他類型的易受傷害的裝置, 比如 機密貨币礦工、arris modems,或物聯網裝置。
gevers 是 gdi 基金會的主席, 這是一個非營利組織, 緻力于保護在網上曝光的裝置, 一直忙于保護各種裝置, 從 aws s3 桶到jenkins執行個體, 還有從 eternalblue 到包含敏感憑據的 github 資訊所感染的計算機。從他們的工作内容就可以看到勒索軟體針對大資料平台攻擊的規模。
點選這裡下載下傳
原文釋出時間:2017年9月5日
本文由:bleepingcomputer 釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/mongodb-ransomware-attacks
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站