WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Gần 23.000 cơ sở dữ liệu MongoDB bị tấn công đòi tiền chuộc
Một tin tặc đã đăng thông báo đòi tiền chuộc của 22.900 cơ sở dữ liệu MongoDB có thể truy cập trực tuyến mà không cần mật khẩu, chiếm khoảng 47% tất cả các cơ sở dữ liệu truy cập trực tuyến của MongoDB.
Tin tặc sử dụng một script tự động để quét các cơ sở dữ liệu MongoDB bị cấu hình sai, xóa sạch nội dung dữ liệu và để lại một thông báo đòi khoản tiền chuộc 0,015 bitcoin (~ 140 đô la).
Hacker này ra thời hạn 2 ngày cho các công ty để thanh toán tiền chuộc, đồng thời đe dọa sẽ làm rò rỉ dữ liệu và báo cáo vấn đề với cơ quan thực thi Quy định bảo vệ dữ liệu chung (GDPR)
Các cuộc tấn công kèm thông báo tiền chuộc (READ_ME_TO_RECOVER_YOUR_DATA) đã xuất hiện từ đầu tháng 4/2020.
Victor Gevers, một nhà nghiên cứu an ninh của công ty GDI Foundation, cho biết các cuộc tấn công ban đầu không bao gồm bước xóa sạch dữ liệu.
Hacker liên tục kết nối với cùng một cơ sở dữ liệu, để lại thông báo tiền chuộc, sau đó quay lại và tạo bản sao khác của cùng một thông báo tiền chuộc một vài ngày sau đó.
Nhưng gần đây hacker này có thể nhận ra sai lầm của mình. Kể từ cuối tháng 6/2020, kẻ tấn công đã sửa lỗi script và hiện tại đã xóa sạch cơ sở dữ liệu MongoDB.
Ngoài một số cơ sở dữ liệu có thể là phiên bản thử nghiệm, chuyên gia Gevers cho biết một số hệ thống sản xuất cũng bị tấn công và hiện đã bị xóa dữ liệu staging.
Tấn công tương tự đã xuất hiện từ cuối năm 2016
Kỹ thuật của các cuộc tấn công trên MongoDB không mới mà là giai đoạn mới nhất của một loạt các cuộc tấn công bắt đầu vào tháng 12/2016, khi tin tặc nhận ra chúng có thể kiếm tiền bằng cách xóa sạch dữ liệu các máy chủ MongoDB và để lại yêu cầu tiền chuộc cho những người sở hữu các máy chủ.
Hơn 28.000 máy chủ đã bị tấn công đòi tiền chuộc trong một loạt các cuộc tấn công vào tháng 1/2017, thêm 26.000 máy chủ vào tháng 9/2017 và sau đó là 3.000 server vào tháng 2/2019.
Các máy chủ trên bị lộ dữ liệu trực tuyến khi quản trị viên thực hiện các hướng dẫn cấu hình MongoDB không chính xác, vô tình mắc lỗi khi cấu hình hệ thống hoặc sử dụng image server kèm với hệ thống MongoDB bị cấu hình tính năng out of box sai.
Để bảo vệ máy chủ MongoDB, các quản trị viên được khuyến cáo truy cập trang Bảo mật MongoDB để nhận các hướng dẫn chính xác nhất.
Hacker này ra thời hạn 2 ngày cho các công ty để thanh toán tiền chuộc, đồng thời đe dọa sẽ làm rò rỉ dữ liệu và báo cáo vấn đề với cơ quan thực thi Quy định bảo vệ dữ liệu chung (GDPR)
Victor Gevers, một nhà nghiên cứu an ninh của công ty GDI Foundation, cho biết các cuộc tấn công ban đầu không bao gồm bước xóa sạch dữ liệu.
Hacker liên tục kết nối với cùng một cơ sở dữ liệu, để lại thông báo tiền chuộc, sau đó quay lại và tạo bản sao khác của cùng một thông báo tiền chuộc một vài ngày sau đó.
Ngoài một số cơ sở dữ liệu có thể là phiên bản thử nghiệm, chuyên gia Gevers cho biết một số hệ thống sản xuất cũng bị tấn công và hiện đã bị xóa dữ liệu staging.
Tấn công tương tự đã xuất hiện từ cuối năm 2016
Kỹ thuật của các cuộc tấn công trên MongoDB không mới mà là giai đoạn mới nhất của một loạt các cuộc tấn công bắt đầu vào tháng 12/2016, khi tin tặc nhận ra chúng có thể kiếm tiền bằng cách xóa sạch dữ liệu các máy chủ MongoDB và để lại yêu cầu tiền chuộc cho những người sở hữu các máy chủ.
Hơn 28.000 máy chủ đã bị tấn công đòi tiền chuộc trong một loạt các cuộc tấn công vào tháng 1/2017, thêm 26.000 máy chủ vào tháng 9/2017 và sau đó là 3.000 server vào tháng 2/2019.
Các máy chủ trên bị lộ dữ liệu trực tuyến khi quản trị viên thực hiện các hướng dẫn cấu hình MongoDB không chính xác, vô tình mắc lỗi khi cấu hình hệ thống hoặc sử dụng image server kèm với hệ thống MongoDB bị cấu hình tính năng out of box sai.
Để bảo vệ máy chủ MongoDB, các quản trị viên được khuyến cáo truy cập trang Bảo mật MongoDB để nhận các hướng dẫn chính xác nhất.
Theo Zdnet