当前位置:首页 > 云计算 > IAAS > 数万个 MongoDB 被攻击,数据库被删

数万个 MongoDB 被攻击,数据库被删

更多的黑客蜂拥而至,被劫持的MongoDB数据库数量随之增加。

数万个 MongoDB 被攻击,数据库被删

由于现在涉嫌企图劫持MongoDB的黑客团伙从一个增加至三个,预计更多的团伙会在接下来几天纷纷加入其中,MongoDB管理员们在数据库管理实践方面将结结实实地上一堂课。

这个周一,Bleeping Computer网站爆出新闻:一个自报家门是Harak1r1的黑客/团伙接管了管理员帐户没有设置密码的连接至互联网的MongoDB数据库。

这个团伙导出数据库的内容,将所有表换成名为WARNING(意为“警告”)的一个表,里面有一封勒索信,要求中招数据库的所有者往比该团伙的特币钱包打入0.2个比特币(约合200美元)。

在我们刊发这篇文章时,Harak1r1已劫持了1800多个MongoDB数据库,11个受害者如数支付了赎金,以换回文件。

随着时间的推移,Harak1r1劫持了更多的数据库,劫持的MongoDB数量一度超过3500个,目前高峰时期超过800个。

在这些受害者当中,黑客甚至钓到了一条“大鱼”:艾默里医疗集团(Emory Healthcare),这是一家总部位于美国的医疗保健组织。

据MacKeeper安全研究团队声称,Harak1r1把艾默里医疗集团洗劫一空,阻止该集团访问200000多个医疗记录。

第二个团伙加入进来

来自harak1r1的攻击又持续了两天,但是随着全球信息安全媒体开始竞相报道这个话题,两个跟风者浮出水面,开始如法炮制。

第二个团伙化名为0wn3d,他们采用的手法是,把劫持而来的数据库表换成名为WARNING_ALERT的表。

据在圣诞节前后最早发现第一个被黑MongoDB数据库的研究人员维克托·格弗斯(Victor Gevers)声称,这第二个团伙已劫持了930多个数据库。

不像Harak1r1,这第二个团伙来得更贪婪一点,索要0.5个比特币(约合500美元),但是这还是没有阻止许多公司支付赎金;0wn3d的比特币钱包显示,至少三个受害者已乖乖支付了赎金。

发现第三个团伙

一天后,同样由格弗斯发现了第三个黑客,使用0704341626asdf这个化名,似乎已攻陷了740多台MongoDB服务器。

这个黑客/团伙索要0.15个比特币(约合150美元),他使用了一封内容更长的勒索信,他在信中告诫受害者:如不配合,他们的数据库内容将发布到互联网上。

此外,这个威胁分子似乎对受害者要求更苛严,限定数据库所有者必须在72小时内支付赎金。

支付赎金并不意味着受害者就可以拿回数据。

据格弗斯声称,由于这三个团伙开始使用内容更多样的勒索信和不同的比特币地址,让他得以跟踪查明这些团伙活动的思路在慢慢模糊起来。

此外,在这些攻击更新颖的变种当中,黑客们似乎懒得拷贝中招的数据库。在最近的几次攻击中,格弗斯表示,骗子们索性删除了数据库的内容,照样索要赎金,希望没人检查日志,没人发现他们的所作所为。

争夺MongoDB的地盘战刚开始

但是坏消息并不仅限于此。据格弗斯声称,这些团伙如今在争抢同一块地盘,其中许多人在改写对方的勒索信。

因此导致出现了这种情况:数据库的所有者把赎金付错对象,结果付给不该支付的团伙,对方自然无法归还内容。

格弗斯近日告诉Bleeping Computer网站:“这引起了坏人的注意,更多的玩家加入进来,打算趁机浑水摸鱼。这是件坏事。”

这位研究人员补充说:“虽然如此,但是这可能不会促使MongoDB的所有者开始修复门户敞开的MongoDB数据库。”他提到,大量未受到保护的MongoDB服务器连接到互联网上。

格弗斯补充道:“Shodan上的MongoDB总数量仍在增加,ZoomEye显示有90000多台服务器的门户敞开。AWS安全团队接到了潮水般涌入的帮助请求。”他本人忙于为遭到这些攻击的公司提供技术援助。

攻陷指标(IOC)

这张表现在出现在谷歌文档(Google Docs)上,现在由尼尔·梅里根(Niall Merrigan)和维克托·格弗斯共同管理。

下面这张表总结了与MongoDB勒索攻击有关的所有详细信息。这张表极有可能不完整。如果你有任何新的详细信息,欢迎联系我们。

团伙名称 电子邮件地址 比特币地址 勒索

金额

被替换数据

库的名称

已知的IP地址
Harak1r1 harak1r1@sigaint.org 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq
1MMA6YD99vAfzKqhrb3dY91KpSZV6TMd2x
14VaE8NpTBTvx8k4SmteYKwPiu2YeWmuhh
0.2个

比特币

WARNING 92.99.14.92.99.14.3
Mongo3l1t3 mongo3l1t3@sigaint.org 1j4ocBecBanTwjLsxLfiE7iWjMJGHdZGB 0.2个

比特币

WARNING 193.107.145.20
0wn3d 0wn3d@protonmail.com 15b7bS8tUg8NpzX2FRJQskEFjWRDg9gy6f 0.5个

比特币

WARNING_ALERT 185.106.120.159
0704341626asdf 0704341626asdf@signaint.org 18eUPJLM79zdXKYWZSzT29fBQScFwU81VR 0.15个

比特币

PWNED 95.211.184.210

*** 1月6日,Mongoel1t3团伙后来居上,攻击势头超过Harak1r1攻击。这回,攻击者没有导出数据库,没有拷贝就直接更换数据库。

云头条编译|未经授权谢绝转载

数万个 MongoDB 被攻击,数据库被删

 

数万个 MongoDB 被攻击,数据库被删:等您坐沙发呢!

发表评论

表情
还能输入210个字