Tömegesen ejtik foglyul a nyitott MongoDB adatbázisokat
Nyitva felejtett MongoDB adatbázisok lettek az online bűnözők új aranybányái, már a 20 ezret is meghaladja a támadássorozatban célba vett szervezetek száma. Az elvesztett fájlok visszaszerzését a váltságdíj kifizetése sem garantálja.
Több tízezer rosszul felkonfigurált MongoDB adatbázis esett áldozatul a legújabb ransomware-rohamnak, sőt a szerencsétlenebbek még az utóhullámoknak is - a tömeges online túszszedésről a Krebs on Security számolt be. A MongoDB-t rengetegen használják, annak hátránya ugyanakkor, hogy félrekonfigurálva vagy csak a szerveren alapértelmezett beállításokon felejtve lényegében bárkinek korlátlan hozzáférést enged a tárolt adatokhoz, beleértve az írási és olvasási jogokat is. Noha ismert gyengeségről van szó, mégis rendre szivárognak ki potenciálisan érzékeny adatok különböző vállalatoktól, a hibás beállítások miatt.
A problémára most a ransomware-fejlesztők is felkapták a fejüket, és mind többen igyekeznek "monetizálni" azt. A "piacon" pedig sokaknak jut hely, a Krebs on Security elemzései szerint ugyanis jelenleg több mint 52 ezer nyilvánosan elérhető MongoDB adatbázis működik világszerte, legnagyobb részük az Egyesült Államokban. Ezekre csaptak le most a ransomware-gazdák, akik a nyilvánosan elérhető adatokat titkosítják, majd szokásukhoz híven bitcoinban kérnek váltságdíjat az információk visszaszolgáltatásáért cserébe.
Nyílt MongoDB adatbázisok világszerte
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A követelt összeg kicsengetése sem garantálja azonban, hogy az áldozat visszakapja az adatait: az MongoDB felhasználók tortúráját Niall Merrigan és Victor Gevers biztonsági szakértők is nyomon követik, és eddigi tapasztalataik szerint alig néhányan nyertek ismét hozzáférést a titkosított információkhoz a fizetést követően. A kutatók egy nyilvánosan megtekinthető Google dokumentumot is létrehoztak, amelyben nyilvántartják a támadásoknak áldozatul esett szervezeteket, illetve azt is, azok fizettek-e és ha igen visszakapták-e adataikat.
A szakértők jelenleg senkinek nem javasolják a váltságdíj kifizetését, miután az nem jelent garanciát a probléma elhárítására és csak támogatja az "üzleti modellt". Ha valaki mégis a fizetés mellett dönt, érdemes előtte valamilyen bizonyítékot, például egy-két feloldott fájlt kérni a zsarolótól, hogy megmutassa, valóban képes visszaállítani azokat. Emellett a támadókkal való alkudozás is sikeres lehet, ahogy az korábban Mikko Hypponen tapasztalataiból is kiderült.
A támadók lényegében mind ugyanazt a módszert használják: egy megfelelő keresőmotor, például Shodan használatával felkutatják a nyitott MongoDB adatbázisokat és módszeresen el is kezdik azok titkosítását. A kutatók szerint eddig legalább 20 ezer adatbázist titkosítottak, ezek száma pedig folyamatosan nő. Akik tehát MongoDB-t használnak akár személyes, akár üzleti környezetben, ha eddig nem tették meg haladéktalanul váltsanak az alapértelmezett beállításokról és korlátozzák a hozzáférést az adatbázishoz.