В начале января этого года группа из 21 хакера провела масштабную серию кибератак, жертвами которой стали системы, использующие MongoDB. За пять дней было инфицировано порядка 21600 баз данных MongoDB, а только злоумышленники, называющие себя Kraken Group получили выкупов на сумму в 9,8 BTC (около 7700$).
Но даже после активного противодействия атаке и освещения проблемы в зарубежной профессиональной прессе и блогосфере, хакеры останавливаться не собираются. К концу января все кто хотел заплатить — заплатили, но группа останавливаться не собирается.
После того, как основная волна выкупов иссякла, а в рядах самих хакеров началась путаница на тему «кто и что заразил», в Kraken Group было принято решение еще немного подзаработать и хакеры занялись продажей инструмента, которым они атаковали базы данных. Стоимость скрипта составляет всего 200$. При этом размер выкупа базы данных у злоумышленников составлял 0,2 BTC или около 184$.
selling Kraken Mongodb ransomware c# source code
price: 200USD in bitcoins
This [EXPLETIVE] is very fast Multi-Threaded can handle 1000+ ips per second and way more if you got powerful 10GBs port
CPU load is very low, RAM is important if you have big ip list ( included with source code )
what you'll get:
* kraken source code
* 100,000 ip list with mongodb open
* mass mongodb scanner to scan the whole internet ip range for open mongodbs
Объявление о продаже на Pastebin
Всего по статистике ZoomEye в сети существует около 100 000 открытых систем, использующих MongoDB, ip-адреса которых и предлагаются вместе с инструментом. Kraken Group заразила почти пятую часть из них. До кого-то они не смогли добраться чисто физически, кто-то из администраторов предпринял меры по обеспечению безопасности системы, когда об атаке стало широко известно.
Атаке подвергались открытые базы, которые методом парсинга находили в сети. То есть злоумышленники эксплуатируют не уязвимость в самой БД, а исключительно лень администраторов. Примерно неделю назад хакеры добавили в скрипт скан открытых БД на Hadoop и ElasticSearch.
Если вы являетесь администратором одной из этих БД, убедитесь, что они надежно защищены.
Комментарии (7)
rotor
26.01.2017 22:29Вот нагуглил некоторое объяснение истоков проблемы: https://habrahabr.ru/post/221221/
Если кратко, то до определенной версии MongoDB шла открытой по умолчанию. И пользователи, неожидавшие такой засады, ничего не подозревая, таковой ее и оставляли.selivanov_pavel
27.01.2017 03:31> пользователи, неожидавшие такой засады, ничего не подозревая
По какой причине вообще может существовать сервер, подключенный к интернету и не имющий фаервола с политикой запрета входящих соединений по-умолчанию, кроме явно разрешённых? Это же не какое-то хитрое ИБ-вуду типа IDS/IPS, это правило из разряда «не суй пальцы в розетку».rotor
27.01.2017 08:49Это ни ко мне вопрос. Я просто кратко пересказал текст по ссылке. Сам я Монгой вообще не пользуюсь
bano-notit
28.01.2017 00:58+1Правило из разряда "не суй пальцы в розетку" работает до тех пор, пока всё делается на одной машине, тогда к этой бд никто и не будет кроме локальных процессов конектится. Проблемы начинаются, когда человеку вдруг захотелось подредактировать эту самую бд, а она оказывается за каким-то фаерволом, который надо настраивать ещё. Находится первая же статься "как открыть порт", из неё копипастятся команды, и про --auth у монги никто в этой статье не говорит, просто по тому, что эта статья расчитана на все порты.
selivanov_pavel
28.01.2017 01:13Правило из разряда «не суй пальцы в розетку» работает до тех пор, пока не надо выходить из дома. Проблемы начинаются, когда человеку вдруг захотелось куда-то поехать, а для этого надо учиться водить какую-то машину. Находится первая же статься «как завести машину»…
Ну всем же например очевидно, что если убрать из офиса охрану, выключить сигнализацию, оставить его на ночь открытым и на стол положить кошелёк с деньгами, то скорее всего эти деньги исчезнут, возможно вместе с оргтехникой. Думаю, случаи воровства больших сумм денег из открытых неохраняемых помещений очень редки, и не потому, что желающих мало.
Но почему-то, как видно из статьи, очень много людей оставляют открытым в интернет сервис без авторизации. Причём эти люди работают с большими объёмами данных, то есть они вроде как должны обладать определённым уровнем компьютерной грамотности и понимать, что при такой настройке эти данные доступны _всем_, кто имеет доступ в интернет.bano-notit
28.01.2017 01:20+1Я вас умоляю… Нормальных данных там нету. Нормальный человек так делать не будет.
Всё проще. Есть какой-нибудь стартап игры с акками на монге. Эту бд никто не знает как охранять, ибо людям, которые работают на каком-нибудь хипстерском блендере пофигу, что хипстерская монга должна иметь защиту.
В конце концов, когда базу шифруют, разрабам не хочется терять акки, а точнее говоря деньги, которые привязаны к этим аккам, ведь во всяких там мморпг много чего можно сохранять в бд, а вернуть это потом… Тк вот, в конце концов оказывается, что те 15 человек, друзей кролика, нехило вложились в развитие этой игры, и им легче набрать указанные 200 зелёных, чем отдавать 205 своим 15-ти клиентам.
Нормальные люди пальцы в розетку без гвоздей не суют...
bano-notit
Благодарствую за информацию. Благо в инет у меня смотрят только бд с паролями по юзерам. Но всё же. Благодарю.