Подписка на RSS
Цены
О проекте
Регистрация | Вход
Добавить пресс-релиз
Распространить пресс-релиз
Добавить сайт в рейтинг





Контакты и поддержка

Hi-tech

Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч

FASQuInc FASQuInc
10 Января 2017 года

Hi-tech   Интернет

В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации. Выявлено около 2000 поражённых систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащая запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации. В сообщении утверждается, что данные зашифрованы, но на деле они просто удалены. При этом, в некоторых случаях в логе зафиксирован экспорт данных перед удалением.

Среди поражённых оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без включения аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остаётся открыта база одного из крупных операторов сотовой связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.

Если раньше подобная беспечность приводила к утечке данных, например данный способ использовался для захвата учётных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчёт сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены новыми резервными копиями).

С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов. Всем администраторам MongoDB рекомендуется проверить привязку к сетевым интерфейсам, заблокировать внешний доступ к сетевому порту 27017 и включить доступ с применением аутентификации (запуск с "--auth" или добавление в настройки "security.authorization"), который не активирован по умолчанию.

Дополнение: За несколько дней число атакованных систем увеличилось с 2 до 28 тысяч. В результате атак потеряно более 93 Тб данных. Зафиксировано около 30 модификаций вредоносного шифровальщика, применяемых для атаки.

Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч

Спустя неделю с момента выявления атаки на СУБД MongoDB, число поражённых вредоносным ПО систем возросло с 2 до 28 тысяч. Общее число потенциально уязвимых систем, в которых доступ к СУБД MongoDB открыт для внешних сетей без применения аутентификации, оценивается в 99 тысяч. В результате атак потеряно более 93 Тб данных.

Существенно возросло и число модификаций применяемых для атаки шифровальщиков - в настоящее время зафиксировано около 30 вариантов, требующих отправки на разные кошельки от 0.1 до 1 биткойна и сохраняющих предупреждения в таблицах PWNED, PLEASE_READ, LEIA_ME, WAGNING и т.п. Ни одному из заплативших пока не удалось вернуть свои данные, судя по всему, как и в первом варианте вредоносного ПО в новых модификациях данные просто удаляются, без возможности восстановления. Разработчики MongoDB опубликовали специальную инструкцию по проверке настроек, увеличению защиты СУБД и действиям в случае атаки.


Поделитесь ссылкой:



Статьи по теме от других авторов

« Наиболее частые поломки стиральных машин. Ранняя диагностика и современные технологии МЕДСИ - против рака груди »

О проекте | Цены | Реклама | Контакты © 2005-2018 CrossRoads Media
Хостинг портала
Business Key Top Sites