信息來源:hackernews
在過去三周內(nèi)�,超過12,000個(gè)不安全的MongoDB數(shù)據(jù)庫被刪除。黑客組織只留下一條消息:“聯(lián)系我們以恢復(fù)數(shù)據(jù)”�。此前雖然沒有達(dá)到這種規(guī)模��,但至少從2017年初開始���,這些針對(duì)可公開訪問的MongoDB數(shù)據(jù)庫的攻擊已經(jīng)發(fā)生。
黑客們使用BinaryEdge或Shodan搜索引擎來查找暴露的數(shù)據(jù)庫服務(wù)器并刪除它們�。要想恢復(fù)服務(wù),就得支付贖金��。雖然攻擊針對(duì)可遠(yuǎn)程訪問和不受保護(hù)的MongoDB數(shù)據(jù)庫����,黑客在刪除它們之后要求支付勒索贖金以恢復(fù)數(shù)據(jù)�,但這一系列舉措似乎并未要求特定的贖金數(shù)額。提供的電子郵件地址最有可能用來協(xié)商恢復(fù)數(shù)據(jù)的條款�。安全研究員Sanyam Jain對(duì)此提供了一個(gè)非常合理的解釋,稱“黑客可能會(huì)根據(jù)數(shù)據(jù)庫的敏感度收取加密貨幣”�。
黑客留下的聯(lián)系方式
研究人員使用BinaryEdge搜索引擎發(fā)現(xiàn)了由Unistellar黑客組織刪除的12,564個(gè)未受保護(hù)的MongoDB數(shù)據(jù)庫(Shodan報(bào)道的數(shù)量較少,為7,656個(gè)數(shù)據(jù)庫�,可能是因?yàn)椴樵儽蛔柚梗8鶕?jù)Jain所說�,目前��,BinaryEdge索引了超過63,000臺(tái)可公開訪問的MongoDB服務(wù)器��,Unistellar黑客組織似乎已經(jīng)刪除了約20%����。研究人員于4月24日首次注意到此類攻擊���,當(dāng)時(shí)他發(fā)現(xiàn)了一個(gè)被刪除的MongoDB數(shù)據(jù)庫�。不同于過去經(jīng)常發(fā)現(xiàn)的大量的泄露數(shù)據(jù)�,其只包含以下信息:“想要恢復(fù)?聯(lián)系方式:unistellar@yandex.com���?��!?
使用BinaryEdge找到的被刪除的MongoDB數(shù)據(jù)庫
研究人員后來發(fā)現(xiàn),在刪除數(shù)據(jù)庫后���,黑客留下贖金票據(jù)�。如果受害者想要恢復(fù)數(shù)據(jù)���,向以下兩個(gè)電子郵件地址之一發(fā)送電子郵件:unistellar@hotmail.com 或unistellar@yandex.com�。雖然尚不清楚黑客用什么方法來查找并刪除如此大量的數(shù)據(jù)庫,但整個(gè)過程很可能是完全自動(dòng)化的�。
連接到其中一個(gè)未受保護(hù)的MongoDB數(shù)據(jù)庫后發(fā)現(xiàn),黑客執(zhí)行此操作的腳本會(huì)不加區(qū)別地刪除每個(gè)不安全的MongoDB數(shù)據(jù)庫���,然后添加贖金表�。
正如Jain所說��,Unistellar黑客組織似乎已經(jīng)創(chuàng)建了恢復(fù)點(diǎn)�,以便恢復(fù)他們所刪除的數(shù)據(jù)庫。遺憾的是��,無法追蹤受害者是否一直在為要恢復(fù)的數(shù)據(jù)庫付費(fèi)���,因?yàn)閁nistellar只提供電子郵件地址����,并不提供加密貨幣地址����。
(各個(gè)國家被刪除的數(shù)據(jù)庫數(shù)量)
保護(hù)MongoDB數(shù)據(jù)庫
發(fā)生攻擊的原因是MongoDB數(shù)據(jù)庫可遠(yuǎn)程訪問且沒有得到正確的保護(hù)���,因此數(shù)據(jù)庫所有者可以通過相當(dāng)簡單的步驟來防止此類攻擊�。MongoDB提供了有關(guān)如何通過實(shí)施適當(dāng)?shù)纳矸蒡?yàn)證、訪問控制和加密來保護(hù)MongoDB數(shù)據(jù)庫的詳細(xì)方法��,還提供了一個(gè)安全檢查表供管理員遵循����。防止攻擊的兩個(gè)最重要的措施是啟用身份驗(yàn)證且不允許遠(yuǎn)程訪問數(shù)據(jù)庫。
