Insgesamt 12,564 ungesicherte MongoDB Datenbanken wurden im Laufe 3 Wochen gelöscht. Eine Nachricht bleibt nach dem Löschen Datenbanken Besitzer aufgefordert mit den Hackern in Kontakt zu treten, die Daten haben restauriert.
Tausende von MongoDB Datenbanken gelöscht
Die Angreifer wurden von unabhängigen Sicherheitsforscher Sanyam Jain entdeckt und gemeldet. Der Forscher glaubt, dass der Hacker(s) hinter den Anschlägen wird höchstwahrscheinlich Geld in Kryptowährung Lade, und entsprechend der Empfindlichkeit der Datenbank, die Summe kann größer oder kleiner sein.
Der Forscher entdeckte zuerst die Angriffe auf April 24, wenn er zum ersten Mal über eine gewischt MongoDB Datenbank kam, die nicht die üblichen großen Mengen an durchgesickert Daten enthalten, sondern die folgende Notiz: “Wiederherstellen ? Kontakt : unistellar@yandex.com".
Mit anderen Worten, die Hacker Erpresserbriefe verließen die Opfer bat sie per E-Mail zu kontaktieren, falls sie wollen, dass ihre Daten wiederhergestellt. Vorausgesetzt, E-Mails enthalten unistellar@hotmail.com oder unistellar@yandex.com.
Da keine weiteren Details wurden wie eine exakte Menge Lösegeld gegeben, es ist sehr wahrscheinlich, dass der Hacker offen ist die Bedingungen der Daten zu verhandeln erholen.
Dies ist nicht das erste Mal, MongoDB Datenbanken auf diese Weise angegriffen werden. In 2017, mindestens 28,000 misconfigured MongoDB Datenbanken zum Opfer fielen, um Hacker-Angriffe. Die Angriffe waren möglich, weil die Server über das Internet zugänglich waren. Die kompromittierten Server wurden auch Ausnutzen von Sicherheitslücken falsch konfiguriert oder anfällig (aufgrund ungepatchte Schwachstellen).
Dann, in 2018 MongoDB Datenbanken war auf Gefahr der sogenannten MongoLock Ransomware. Bob Diachenko - die Sicherheitsforscher, die zuerst die bösartige Kampagne entdeckt geteilt, dass Angreifer auf einen ungeschützten Datenbank verbinden würden und einfach löschen. Eine neue Datenbank „Warnung“ mit einer Sammlung in ihm den Namen „Readme“ genannt würde anstelle der alten Datenbank gelassen werden. Die Readme-Sammlung enthielt das Löse Nachricht, die behaupteten, dass die Datenbank verschlüsselt wurde, und dass die Opfer für die Wiederherstellung bezahlen erforderlich.
Der MongoLock Angriff fragte auch nicht für bestimmte Menge an Geld und links E-Mail-Adressen für die Opfer in Kontakt mit seinen Betreibern zu erhalten.