Újra célkeresztbe került a MongoDB

A MongoDB alapú adatbázisok ismét célponttá váltak. A támadók ezerszámra térképezik fel a védtelen rendszereket, majd zsarolnak.
 

Amikor az online világban zsarolásról esik szó, akkor először mindig a zsaroló (ransomware) programok kerülnek szóba. Ez persze érthető, hiszen gyakorta keserítik meg a felhasználók, üzemeltetők életét, és okoznak akár helyreállíthatatlan károkat. Azonban a kiberbűnözők nem kizárólag e technikára hagyatkoznak. Azaz nem kizárólag fájlok titkosításával - vagy például mobil eszközök esetében azok zárolásával - követlenek váltságdíjat, hanem egyes esetekben az adatbázisokat sem kímélik. Rájöttek arra, hogy a szerverek üzemeltetőitől is lehet pénzt követelni.
 
Az első jelentősebb, MongoDB elleni zsaroló támadásokra tavaly decemberben került sor. Aztán januárban már több tízezerre rúgott a kompromittált adatbázisok száma. A Morrigan akkori becslése szerint legalább 114,5 terabájtnyi adat semmisülhetett meg.
 
Csak átmeneti volt a nyugalom
 
Idén folyamatosan kezdtek lecsengeni a MongoDB elleni támadások, több alvilági szerver is elérhetetlenné vált. Már-már azt lehetett gondolni, hogy ezt a módszert elvetették a csalók. Lehet, hogy így is volt, de sajnos csak átmenetileg. A legfrissebb hírek szerint ugyanis ismét ezerszámra érik támadások ezeket az adatbázisokat.
 
Az újdonsült incidensekre a múlt héten figyeltek fel a biztonsági cégek, majd a hétvégén tovább durvult a helyzet. Dylan Katz és Victor Gevers biztonsági kutatók szerint az elmúlt egy héten legalább 26 ezer szervert sikerült feltörniük az elkövetőknek. Az eddigi vizsgálatok szerint három kiberbanda állhat a történtek mögött, amelyek közül az egyik önmagában 22 ezer kiszolgálót kényszerített térdre.
 
A mostani támadások is azokat a szervereket ostromolják, amelyek internet felől elérhetők, azaz nem célzott, komplex módon végrehajtott akciókról van szó. Az elkövetők rosszul konfigurált, sérülékeny MongoDB példányokat keresnek, amelyekből adatokat törölnek, és egy zsaroló üzenetet helyeznek el a kiszolgálókon vagy éppen a "kipucolt" adatbázisokban. Ekkor általában 0,15-0,2 Bitcoint követelnek a helyreállításért cserébe.
 
A biztonsági szakemberek két fontos tényezőre világítottak rá. Egyrészt, hogy a váltságdíjat nem érdemes kifizetni, mert semmi sem garantálja, hogy a csalóknál megvannak a törölt adatok, és valóban vissza tudják azokat állítani. Másrészt pedig a helyreállításkor érdemes arra figyelni, hogy a támadók által kihasznált biztonsági rések befoltozása megtörténjen. Több esetben ugyanis az áldozatul eső cégek visszatöltötték a mentéseikből az adatokat, de az adatbázisok délutánra ismét kiürültek, mivel a támadók által felfedezett sebezhető pontok megmaradtak a rendszeren, és így újra lehetőség nyílt a támadásokra.
 
Nemcsak a MongoDB van terítéken
 
Fontos megjegyezni, hogy ilyen jellegű kockázatokkal nem kizárólag a MongoDB esetében kell számolni. Egyebek mellett az ElasticSearch, a Hadoop, a CouchDB, a Cassandra és a MySQL szerverek is könnyedén az áldozatok listájára kerülhetnek, ha azok nincsnek megfelelő védelemmel körül bástyázva, illetve a konfigurációjuk nem megfelelő.