安全動態(tài)

超 12,000 個 MongoDB 數(shù)據(jù)庫被 Unrisllar 黑客組織刪除

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-05-20    瀏覽次數(shù):
 

信息來源:hackernews

在過去三周內(nèi),超過12,000個不安全的MongoDB數(shù)據(jù)庫被刪除。黑客組織只留下一條消息:“聯(lián)系我們以恢復(fù)數(shù)據(jù)”。此前雖然沒有達(dá)到這種規(guī)模,但至少從2017年初開始,這些針對可公開訪問的MongoDB數(shù)據(jù)庫的攻擊已經(jīng)發(fā)生。

黑客們使用BinaryEdge或Shodan搜索引擎來查找暴露的數(shù)據(jù)庫服務(wù)器并刪除它們。要想恢復(fù)服務(wù),就得支付贖金。雖然攻擊針對可遠(yuǎn)程訪問和不受保護(hù)的MongoDB數(shù)據(jù)庫,黑客在刪除它們之后要求支付勒索贖金以恢復(fù)數(shù)據(jù),但這一系列舉措似乎并未要求特定的贖金數(shù)額。提供的電子郵件地址最有可能用來協(xié)商恢復(fù)數(shù)據(jù)的條款。安全研究員Sanyam Jain對此提供了一個非常合理的解釋,稱“黑客可能會根據(jù)數(shù)據(jù)庫的敏感度收取加密貨幣”。

黑客留下的聯(lián)系方式

研究人員使用BinaryEdge搜索引擎發(fā)現(xiàn)了由Unistellar黑客組織刪除的12,564個未受保護(hù)的MongoDB數(shù)據(jù)庫(Shodan報道的數(shù)量較少,為7,656個數(shù)據(jù)庫,可能是因為查詢被阻止)。根據(jù)Jain所說,目前,BinaryEdge索引了超過63,000臺可公開訪問的MongoDB服務(wù)器,Unistellar黑客組織似乎已經(jīng)刪除了約20%。研究人員于4月24日首次注意到此類攻擊,當(dāng)時他發(fā)現(xiàn)了一個被刪除的MongoDB數(shù)據(jù)庫。不同于過去經(jīng)常發(fā)現(xiàn)的大量的泄露數(shù)據(jù),其只包含以下信息:“想要恢復(fù)?聯(lián)系方式:unistellar@yandex.com?!?

使用BinaryEdge找到的被刪除的MongoDB數(shù)據(jù)庫

研究人員后來發(fā)現(xiàn),在刪除數(shù)據(jù)庫后,黑客留下贖金票據(jù)。如果受害者想要恢復(fù)數(shù)據(jù),向以下兩個電子郵件地址之一發(fā)送電子郵件:unistellar@hotmail.com 或unistellar@yandex.com。雖然尚不清楚黑客用什么方法來查找并刪除如此大量的數(shù)據(jù)庫,但整個過程很可能是完全自動化的。

連接到其中一個未受保護(hù)的MongoDB數(shù)據(jù)庫后發(fā)現(xiàn),黑客執(zhí)行此操作的腳本會不加區(qū)別地刪除每個不安全的MongoDB數(shù)據(jù)庫,然后添加贖金表。

正如Jain所說,Unistellar黑客組織似乎已經(jīng)創(chuàng)建了恢復(fù)點,以便恢復(fù)他們所刪除的數(shù)據(jù)庫。遺憾的是,無法追蹤受害者是否一直在為要恢復(fù)的數(shù)據(jù)庫付費,因為Unistellar只提供電子郵件地址,并不提供加密貨幣地址。

(各個國家被刪除的數(shù)據(jù)庫數(shù)量)

保護(hù)MongoDB數(shù)據(jù)庫

發(fā)生攻擊的原因是MongoDB數(shù)據(jù)庫可遠(yuǎn)程訪問且沒有得到正確的保護(hù),因此數(shù)據(jù)庫所有者可以通過相當(dāng)簡單的步驟來防止此類攻擊。MongoDB提供了有關(guān)如何通過實施適當(dāng)?shù)纳矸蒡炞C、訪問控制和加密來保護(hù)MongoDB數(shù)據(jù)庫的詳細(xì)方法,還提供了一個安全檢查表供管理員遵循。防止攻擊的兩個最重要的措施是啟用身份驗證且不允許遠(yuǎn)程訪問數(shù)據(jù)庫。

 
 

上一篇:2019年05月19日 聚銘安全速遞

下一篇:世界智能大會簽約126個項目