在过去三周内,超过12,000个不安全的MongoDB数据库被删除。黑客组织只留下一条消息:“联系我们以恢复数据”。此前虽然没有达到这种规模,但至少从2017年初开始,这些针对可公开访问的MongoDB数据库的攻击已经发生。
黑客们使用BinaryEdge或Shodan搜索引擎来查找暴露的数据库服务器并删除它们。要想恢复服务,就得支付赎金。虽然攻击针对可远程访问和不受保护的MongoDB数据库,黑客在删除它们之后要求支付勒索赎金以恢复数据,但这一系列举措似乎并未要求特定的赎金数额。提供的电子邮件地址最有可能用来协商恢复数据的条款。安全研究员Sanyam Jain对此提供了一个非常合理的解释,称“黑客可能会根据数据库的敏感度收取加密货币”。
黑客留下的联系方式
研究人员使用BinaryEdge搜索引擎发现了由Unistellar黑客组织删除的12,564个未受保护的MongoDB数据库(Shodan报道的数量较少,为7,656个数据库,可能是因为查询被阻止)。根据Jain所说,目前,BinaryEdge索引了超过63,000台可公开访问的MongoDB服务器,Unistellar黑客组织似乎已经删除了约20%。研究人员于4月24日首次注意到此类攻击,当时他发现了一个被删除的MongoDB数据库。不同于过去经常发现的大量的泄露数据,其只包含以下信息:“想要恢复?联系方式:unistellar@yandex.com。”
使用BinaryEdge找到的被删除的MongoDB数据库
研究人员后来发现,在删除数据库后,黑客留下赎金票据。如果受害者想要恢复数据,向以下两个电子邮件地址之一发送电子邮件:unistellar@hotmail.com 或unistellar@yandex.com。虽然尚不清楚黑客用什么方法来查找并删除如此大量的数据库,但整个过程很可能是完全自动化的。
连接到其中一个未受保护的MongoDB数据库后发现,黑客执行此操作的脚本会不加区别地删除每个不安全的MongoDB数据库,然后添加赎金表。
正如Jain所说,Unistellar黑客组织似乎已经创建了恢复点,以便恢复他们所删除的数据库。遗憾的是,无法追踪受害者是否一直在为要恢复的数据库付费,因为Unistellar只提供电子邮件地址,并不提供加密货币地址。
(各个国家被删除的数据库数量)
保护MongoDB数据库
发生攻击的原因是MongoDB数据库可远程访问且没有得到正确的保护,因此数据库所有者可以通过相当简单的步骤来防止此类攻击。MongoDB提供了有关如何通过实施适当的身份验证、访问控制和加密来保护MongoDB数据库的详细方法,还提供了一个安全检查表供管理员遵循。防止攻击的两个最重要的措施是启用身份验证且不允许远程访问数据库。