Программы-вымогатели атаковали больше 10 тыс. баз данных MongoDB

Злоумышленники используют слабости неправильно сконфигурированных баз данных MongoDB с открытым исходным кодом и захватывают их для выкупа. Об атаках программ-вымогателей против MongoDB впервые публично сообщил 27 декабря 2016 г. исследователь безопасности GDI Foundation Виктор Геверс, и с тех пор наблюдалось их постоянное нарастание. В этих атаках участвовали по крайней мере пять разных хакерских групп, которые захватили контроль более чем над 10 тыс. экземпляров баз данных.

К числу тех, кто присоединился к атакам на MongoDB сравнительно недавно, относится группа, о которой сообщил 6 января исследователь безопасности Найел Мерриган. Взломщики MongoDB идентифицируются лишь по адресу электронной почты, используемому в требовании выкупа. Эта новая группа, использующая адрес 3lix1r@mail2tor.com, уже скомпрометировала не меньше 17 экземпляров MongoDB и требует от своих жертв заплатить за восстановление данных 0,25 биткоина.

На Google Docs в настоящее время ведется активный список растущего числа хакерских групп, участвующих в атаках. Запрашиваемые взломщиками суммы варьируют от 0,15 до 1 биткоина. Курс биткоина в первые дни 2017 г. флуктуировал и на 6 января составлял приблизительно 892 долл.

Сама атака против MongoDB довольно проста и использует слабость баз данных, которые не были должным образом сконфигурированы и остались открытыми, так что их пользователю не требуется надлежащая административная проверка. После того как злоумышленник подключился к открытой базе данных, следующий шаг состоит в том, чтобы получить над ней полный контроль и затем украсть или зашифровать находящиеся в ней данные с предложением вернуть их обратно пострадавшей стороне только по получении оплаченного в биткоинах выкупа.

Тот факт, что многие экземпляры баз данных MongoDB оставляют открытыми, явление не новое. Еще в декабре 2015 г. исследователь безопасности Крис Викери использовал поисковое средство Shodan для розыска серверов MongoDB с открытыми портами. На тот момент он умел находить плохо сконфигурированные базы данных MongoDB при помощи утилиты компании Kromtech, разработчика пакета MacKeeper Mac OS X.

Исследование Викери продолжил Джон Матерли, основатель проекта Shodan, который в том же декабре 2015 г. сообщил об обнаружении в Интернете по меньшей мере 35 тыс. публично доступных экземпляров MongoDB, не требующих аутентификации. Прошел ровно год, и в январе 2017 г. количество открытых бах данных MongoDB не только не уменьшилось, а, по-видимому, существенно возросло, по некоторым оценкам, быть может, до 99 тыс.

Для решения проблемы рисков безопасности MongoDB администраторы баз данных должны следовать перечню мер безопасности, описанных на официальном сайте документации к MongoDB. Самый первый пункт этого списка гласит: «Обеспечить контроль доступа и активировать аутентификацию».

Исследователей безопасности, с которыми нам удалось связаться, не удивляет, что MongoDB стала мишенью для злоумышленников, использующих вымогательские программы.

«Учитывая популярность MongoDB и частоту ее использования в продуктивных средах, не удивительно, что на эту СУБД с открытым исходным кодом начались атаки, — сообщил Зохар Эйлон, сооснователь и CEO компании Dome9. — Очень часто небрежности в конфигурировании и упущения в способах развертывания базы данных создают уязвимости, которые могут использовать злоумышленники». Он добавил, что ошибки пользователей, помноженные на слабые практики безопасности, продолжают подвергать опасностям рабочие нагрузки, функционирующие в облачных средах. По его мнению, прежде чем использовать стороннее ПО вроде свободных СУБД, пользователям следует заняться самообразованием в области наилучших практик и известных уязвимостей.

«Интересно, что большинство пользователей думает, будто базы данных защищены, потому что находятся позади сетевых экранов внутри дата-центров, — сказал директор RiskVision по технологии Жан-Франсуа Дюбе. — Проблема в том, что атакующие могут проникать в серверы с информацией еще и через оконечные устройства пользователей или сторонние подключения». Он рекомендует постоянно оценивать на предмет рисков вообще любые базы данных: «Организации, следящие за своими базами данных почти в реальном времени при помощи средств оценки рисков, лучше могут видеть, что происходит, когда из базы данных уходит незашифрованная информация».

Мэтью Гардинер, стратег Mimecast по кибербезопасности, сообщил, что он вовсе не удивлен атаками на MongoDB. «Когда в Интернете тысячами встречаются открытые, доступные без аутентификации места и уязвимые хранилища данных вместе с обслуживающими их системами, приходится лишь удивляться, что так долго удерживает злоумышленников от их взлома», — отметил он.