Egy újabb rasomware-támadási hullámmal már 45 ezerre emelkedhetett azoknak a MongoDB adatbázisoknak a száma, melyek áldozatul estek a tavaly év vége óta kisebb-nagyobb intenzitással tartó támadássorozatnak. A MongoDB jó célpont, mivel az egyik legnépszerűbb nyílt forráskódú ún. NoSQL rendszer. A támadások alapvetően a szerverüzemeltetőket célozták. Az első támadássorozat, amely tavaly decemberben indult, januárra már több tízezer adatbázist érinthetett. A szakértők 115 terabájt körülire becsülték a megsemmisült adatmennyiséget.

22 ezer szerver esett el pár nap alatt

Bár úgy tűnt, hogy január után a támadások fokozatosan elhalnak (a támadók szerverei is elérhetetlenné váltak), a közelmúltban ismét brutálisan megugrottak. A múlt hét végéig 26 ezer olyan szervert talált két, a témával behatóan foglalkozó biztonsági kutató, Dylan Katz és Victor Gevers, melyeket a támadóknak sikerült feltörniük. Három csoportot feltételeznek az események mögött, közülük egy igazán hatékony, a támadások első hullámában ők egyedül 22 ezer szervert törtek fel. Ők 0,2 bitcoint kérnek az adatokért, a 3500 szervert feltörő csoport 0,05 bitcoint, míg a legkisebb csapat, amely 840 szervert tört meg, 0,15 bitcoint követel,

A kutatók arra figyelmeztetnek, hogy nem csak a MongoDB-k, hanem az ElasticSearch, a Hadoop, a CouchDB, a Cassandra és a MySQL rendszerek is komoly veszélynek vannak kitéve, a fertőzések könnyen átterjedhetnek azokra a rendszerekre is.

Nem célzott a támadás

A támadók annyiban hagyományos mintát követnek, hogy nem célzott támadásokat indítanak. Erre utal az, hogy a támadásoknak az internet felől elérhető szerverek estek áldozatul. A bűnözők kerestek sérülékeny, félrekonfigurált MongoDB példányokat, és ha találtak ilyeneket, bementek, adatokat töröltek, és hátrahagytak egy zsaroló üzenetet, hogy 0,15-0,2 bitcoinért cserébe visszaállítják az adatokat.

Ezekre a támadásokra hatványozottan igaz, hogy nem érdemes fizetni, ugyanis – épp a támadás jellege miatt – nagyon kicsi arra az esély, hogy az adatokat valóban vissza lehet állítani. Helyette inkább arra kell az energiát fordítani, hogy befoltozzák azt a biztonsági rést, amelyen keresztül a támadók be tudtak menni a rendszerbe. A kutatók szerint több esetben előfordult az a meglehetősen vicces eset, hogy a biztonsági mentésből visszatöltött adatbázis néhány órán belül újra törlődött, mert a szerver biztonsági résein továbbra is szabadon jártak ki-be a támadók.