Egy újabb rasomware-támadási hullámmal már 45 ezerre emelkedhetett azoknak a MongoDB adatbázisoknak a száma, melyek áldozatul estek a tavaly év vége óta kisebb-nagyobb intenzitással tartó támadássorozatnak. A MongoDB jó célpont, mivel az egyik legnépszerűbb nyílt forráskódú ún. NoSQL rendszer. A támadások alapvetően a szerverüzemeltetőket célozták. Az első támadássorozat, amely tavaly decemberben indult, januárra már több tízezer adatbázist érinthetett. A szakértők 115 terabájt körülire becsülték a megsemmisült adatmennyiséget.
22 ezer szerver esett el pár nap alatt
Bár úgy tűnt, hogy január után a támadások fokozatosan elhalnak (a támadók szerverei is elérhetetlenné váltak), a közelmúltban ismét brutálisan megugrottak. A múlt hét végéig 26 ezer olyan szervert talált két, a témával behatóan foglalkozó biztonsági kutató, Dylan Katz és Victor Gevers, melyeket a támadóknak sikerült feltörniük. Három csoportot feltételeznek az események mögött, közülük egy igazán hatékony, a támadások első hullámában ők egyedül 22 ezer szervert törtek fel. Ők 0,2 bitcoint kérnek az adatokért, a 3500 szervert feltörő csoport 0,05 bitcoint, míg a legkisebb csapat, amely 840 szervert tört meg, 0,15 bitcoint követel,
A kutatók arra figyelmeztetnek, hogy nem csak a MongoDB-k, hanem az ElasticSearch, a Hadoop, a CouchDB, a Cassandra és a MySQL rendszerek is komoly veszélynek vannak kitéve, a fertőzések könnyen átterjedhetnek azokra a rendszerekre is.
Nem célzott a támadás
A támadók annyiban hagyományos mintát követnek, hogy nem célzott támadásokat indítanak. Erre utal az, hogy a támadásoknak az internet felől elérhető szerverek estek áldozatul. A bűnözők kerestek sérülékeny, félrekonfigurált MongoDB példányokat, és ha találtak ilyeneket, bementek, adatokat töröltek, és hátrahagytak egy zsaroló üzenetet, hogy 0,15-0,2 bitcoinért cserébe visszaállítják az adatokat.
Ezekre a támadásokra hatványozottan igaz, hogy nem érdemes fizetni, ugyanis – épp a támadás jellege miatt – nagyon kicsi arra az esély, hogy az adatokat valóban vissza lehet állítani. Helyette inkább arra kell az energiát fordítani, hogy befoltozzák azt a biztonsági rést, amelyen keresztül a támadók be tudtak menni a rendszerbe. A kutatók szerint több esetben előfordult az a meglehetősen vicces eset, hogy a biztonsági mentésből visszatöltött adatbázis néhány órán belül újra törlődött, mert a szerver biztonsági résein továbbra is szabadon jártak ki-be a támadók.
a melléklet támogatója a ONE Solutions
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?