欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

欲哭无泪!MongoDB数据库又双叒叕被攻击了,继去年9月三个黑客团伙劫持了2.6万余台服务器(其中规模最大的一组超过22000台)之后,最近MongoDB数据库又遭勒索软件攻击。

一款名为Mongo Lock的勒索软件将攻击目标瞄准了可远程访问且不受保护的MongoDB数据库,要求支付赎金以便恢复遭清空的数据。

虽然这次攻击活动使用了一个新的名称,但这些攻击的类项却并不新鲜,而MongoDB数据库已经被锁定了一段时间。这些劫持工作是攻击者扫描互联网或使用Shodan.io等服务来搜索未受保护的MongoDB服务器。一旦连接成功,攻击者就可以导出其数据库,并将其删除,随后创建一个赎金说明,解释如何缴纳赎金以恢复数据库。

安全研究员Bob Diachenko 发现此次Mongo Lock活动,根据他的说法,攻击者删除未受保护的数据库,取而代之的是,攻击者将留下一个名为“Warning”的新数据库,其中包含一个名为“Readme”的文件。

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

取而代之的Warning数据库

“Readme”文件中包含一个赎金说明,告知用户其数据库已被加密,只有支付赎金才可取回。在Mongo Lock勒索活动中,如下所示,攻击者并不会直接留下比特币地址,而是提醒受害者主动通过电子邮件与他们联系。

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

“Readme”文件中的勒索说明

Mongo Lock勒索攻击的赎金说明具体内容如下:

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

不同于此次的Mongo Lock勒索攻击,其他勒索攻击通常会提供比特币支付地址,另外附有支付赎金后与攻击者取得联系的电子邮件。

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

虽然赎金说明中声称攻击者会在删除数据库之前首先将其导出,但目前并不确定他们是否真的会“言而有信”。

受害者正在支付赎金

通过查看最近MongoDB勒索攻击中使用的一些比特币地址,会发现受害者一直在支付赎金。

例如,这些攻击者经常使用的比特币地址3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH已经收到了3笔赎金,共计1.8个比特币,按目前的比特币汇率计算,这相当于11,000美元多一点。

欲哭无泪,MongoDB数据库又双叒叕被“绑架”了

比特币支付界面

脚本并不总是有用

根据Diachenko的说法,攻击者似乎正在使用一个脚本来自动访问MongoDB数据库,可能正是通过这种方法将其导出,并删除原有的数据库,然后创建勒索信息。

但是,Diachenko已经注意到,即使创建了勒索信息,该脚本有时也会“失灵”,数据仍可供用户使用。

正确保护MongoDB数据库

之所以会发生这些攻击,是因为MongoDB数据库是远程访问的,而且安全性不高。但是反过来看,这也意味着通过几个简单的步骤,可以轻松防止这些攻击。防止这些类型攻击的两个最重要的步骤是启用身份验证并且不允许远程访问这些数据库。

数据库防勒索病毒防护方案——事前:

1、关闭不必要的服务和账户,仅仅开放需要的服务和账户;

2、避免设置缺省常见的账户名、组名、服务名;

3、账户密码长度超越常见的密码破解程序;

数据库防勒索病毒防护方案——事中:

1、勒索病毒入侵检测;

2、勒索病毒漏洞利用拦截;

3、管理并验证白名单应用;

4、多因素模糊身份验证;

5、业务数据隔离。

数据库防勒索病毒防护方案——事后:

1、备份:持续数据保护、日备份、周备份、月备份;

2、容灾:全业务容灾、数据级容灾、数据同步、灾备一体机。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/113575.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code