信息來源:hackernews
在過去三周內��,超過12,000個不安全的MongoDB數(shù)據庫被刪除��。黑客組織只留下一條消息:“聯(lián)系我們以恢復數(shù)據”���。此前雖然沒有達到這種規(guī)模,但至少從2017年初開始�����,這些針對可公開訪問的MongoDB數(shù)據庫的攻擊已經發(fā)生����。
黑客們使用BinaryEdge或Shodan搜索引擎來查找暴露的數(shù)據庫服務器并刪除它們��。要想恢復服務���,就得支付贖金���。雖然攻擊針對可遠程訪問和不受保護的MongoDB數(shù)據庫����,黑客在刪除它們之后要求支付勒索贖金以恢復數(shù)據����,但這一系列舉措似乎并未要求特定的贖金數(shù)額。提供的電子郵件地址最有可能用來協(xié)商恢復數(shù)據的條款�����。安全研究員Sanyam Jain對此提供了一個非常合理的解釋���,稱“黑客可能會根據數(shù)據庫的敏感度收取加密貨幣”���。
黑客留下的聯(lián)系方式
研究人員使用BinaryEdge搜索引擎發(fā)現(xiàn)了由Unistellar黑客組織刪除的12,564個未受保護的MongoDB數(shù)據庫(Shodan報道的數(shù)量較少,為7,656個數(shù)據庫���,可能是因為查詢被阻止)���。根據Jain所說,目前�,BinaryEdge索引了超過63,000臺可公開訪問的MongoDB服務器,Unistellar黑客組織似乎已經刪除了約20%�����。研究人員于4月24日首次注意到此類攻擊,當時他發(fā)現(xiàn)了一個被刪除的MongoDB數(shù)據庫���。不同于過去經常發(fā)現(xiàn)的大量的泄露數(shù)據����,其只包含以下信息:“想要恢復����?聯(lián)系方式:unistellar@yandex.com?�!?
使用BinaryEdge找到的被刪除的MongoDB數(shù)據庫
研究人員后來發(fā)現(xiàn)�,在刪除數(shù)據庫后,黑客留下贖金票據�����。如果受害者想要恢復數(shù)據�,向以下兩個電子郵件地址之一發(fā)送電子郵件:unistellar@hotmail.com 或unistellar@yandex.com�。雖然尚不清楚黑客用什么方法來查找并刪除如此大量的數(shù)據庫,但整個過程很可能是完全自動化的����。
連接到其中一個未受保護的MongoDB數(shù)據庫后發(fā)現(xiàn)����,黑客執(zhí)行此操作的腳本會不加區(qū)別地刪除每個不安全的MongoDB數(shù)據庫��,然后添加贖金表�。
正如Jain所說,Unistellar黑客組織似乎已經創(chuàng)建了恢復點����,以便恢復他們所刪除的數(shù)據庫。遺憾的是�����,無法追蹤受害者是否一直在為要恢復的數(shù)據庫付費�,因為Unistellar只提供電子郵件地址,并不提供加密貨幣地址��。
(各個國家被刪除的數(shù)據庫數(shù)量)
保護MongoDB數(shù)據庫
發(fā)生攻擊的原因是MongoDB數(shù)據庫可遠程訪問且沒有得到正確的保護�����,因此數(shù)據庫所有者可以通過相當簡單的步驟來防止此類攻擊。MongoDB提供了有關如何通過實施適當?shù)纳矸蒡炞C���、訪問控制和加密來保護MongoDB數(shù)據庫的詳細方法��,還提供了一個安全檢查表供管理員遵循��。防止攻擊的兩個最重要的措施是啟用身份驗證且不允許遠程訪問數(shù)據庫�����。
