MongoDB数据库遭受疯狂勒索攻击 数小时内受害者达2.7万人

无须身份验证的开放式MongoDB数据库实例正在遭受多个黑客组织的攻击，被攻破的数据库内容会被加密，受害者必须支付赎金才能找回自己的数据。
攻击者利用配置存在疏漏的开源MongoDB数据库展开了一系列勒索行为。此番针对MongoDB的勒索行为最早是由GDI Foundation的安全研究人员Victor Gevers在2016年12月27日发现的，在这之后影响陆续扩大，目前至少有五个不同黑客组织控制了上万个数据库实例。
截至目前，最后一个加入此次MongoDB勒索行动的黑客组织是由安全研究人员Nial Merrigan在1月6日发现的。目前，MongoDB攻击者的身份信息只有用于支付赎金的电子邮件地址，最新加入的黑客组织所用的邮件地址为3lix1r@mail2tor.com，该地址已攻陷至少17个MongoDB实例，要求受害者支付0.25个比特币才能找回数据。
目前在Google Docs上有一个列表，其中列出了参与此次攻击的黑客组织名单，具体数量还在增加中。攻击者所要求支付的金额各异，最低仅0.15个比特币，但也有高达1个比特币的赎金。2017年至今，比特币的价值上下波动，截止1月6日，具体金额约等于892美元。
此次针对MongoDB的攻击非常简单，利用了配置有误且可公开访问的数据库，无须具备相应的管理员凭据即可展开攻击。一旦攻击者登录到开放的数据库，随后会全面夺取控制权并窃取或加密数据库，被勒索的受害者必须支付赎金才能找回自己的数据。
很多MongoDB数据库处于开放状态，这种情况早已存在。2015年12月，安全研究人员Chris Vickery就曾使用Shodan搜索工具找到了很多端口开放的MongoDB服务器。当时Vickery甚至找到了一个被Mac OS X工具软件MacKeeper的开发者Kromtech使用的，配置存在疏漏的MongoDB数据库。
Shodan的创始人John Matherly跟进了Vickery的研究结果，并在2015年12月称，当时互联网上共有至少35,000个可公开访问，无须身份验证的MongoDB实例，一年过去了，直到2017年1月，开放式MongoDB数据库的数量不降反增，估计目前共有多达99,000个数据库处于风险中。
作为应对此次MongoDB安全隐患的有效措施，数据库管理员需要参考MongoDB网站上提供的安全清单进行排查。首先需要“启用访问控制并强制进行身份验证”。
安全研究人员对eWEEK表示，MongoDB被攻击者进行勒索完全在意料之中。
“考虑到MongoDB的流行度以及在生产环境中的普及率，以开源的数据库作为目标并不会让人惊讶。”Dome9共同创始人兼首席执行官Zohar Alon向eWEEK说到：“通常来说，数据库部署过程中的配置疏漏和疏忽就会导致可被攻击者利用的弱点。”
Alon还补充说，用户的人为错误与不够强的安全意识也会威胁到云环境中运行的工作负载。他建议在使用开源数据库等第三方软件之前，用户应该自学相关知识，掌握最佳实践和已知弱点等内容。
“有趣的是，大部分人认为数据库是足够安全的，因为可以受到防火墙和数据中心的保护，”Jean-François Dubé首席技术官RiskVision告诉eWEEK：“问题在于攻击者依然可以通过消费者所用的端点和第三方连接访问这些服务器并获取信息。”
Dubé建议总的来说，应当定期对数据库进行风险评估。
“使用风险评估工具对数据库进行近乎实时监视的企业，会在加密后的数据离开数据库时更清楚地发现这一切，”他说。
Mimecast公司网络安全战略师Matthew Gardiner评论说，此次MongoDB被攻击完全没有让他感到意外。
“一处开放的，无须身份验证的，存有宝贵数据的系统，或其他任何重要的系统，被互联网将规模放大上千倍后，最大的问题在于：攻击者为什么等到现在才开始下手？”Gardiner说。
Sean Michael Kerner是eWEEK和InternetNews.com的资深编辑，你可以在Twitter关注他：@TechJournalist。

查看英文原文：MongoDB Ransomware Impacts Over 10,000 Databases

攻击者通过入侵，将未打补丁或有配置问题的数据进行复制、删除操作。

　　管理员被勒索赎金以交换回被盗数据，最初的攻击由名为Harak1r1的黑客发起，叫价0.2比特币(约合184美元)赎回数据。从周三他的攻击被公之于众至今，支付赎金的站长由16人增加至22人。

　　付款被设计成受害者主动做慈善的形式。

　　位于挪威的安全研究专家、微软开发者Niall Merrigan认为攻击由之前12000人次飙升至如今的27633次，历时仅约12个小时。

　　Merrigan和他的同事锁定了其中15名很明显的攻击者，其中一人用代号kraken0的邮箱攻击MongoDB15482次，要求1比特币(921美元)作为换回数据的赎金。至今没人支付这笔钱，Merrigan说他正在调查攻击者涉及的OSINT与不同的输入输出控制系统。

　　他认为同僚Victor Gevers在帮助受害者保护其暴露在MongoDB数据库的数据方面做的很好，目前为止共有118人的数据受到了保护。

　　Gevers透露，有多达9.9万MongoDB用户成为潜在受害对象。

　　MongoDB的安全性一直是个问题：直到最近，该软件的默认设置都处在不安全状态。Shodan搜索引擎创始人John Matherly于2015年就警告超过30000人在MongoDB上的数据没有防护，属于对互联网公开的状态。

　　澳大利亚电信公司和新西兰的媒体 Media Authority 在2015年七月被报告其MongoDB暴露在网上。

　　由AISI发布的检测数据显示，每日约有400起暴露的MongoDB数据库服务，其中90%由澳大利亚网络运营商提供服务。

　　AISI统计的每日暴露在互联网上公开服务的数量

　　Bruce Mattews,来自网络安全机构与主动通信执法机关的主管告诉Vulture South他们掌握澳大利亚超过90%的IP地址段，目前此地MongoDB暴露用户数量比较稳定。

　　“我们向AISI报告能够传递信息给服务商的那些公开又有漏洞的服务”，Mattews说，“信息能够被传递这至关重要，很多暴露的MongoDB数据也许是用于测试但保护他们的安全仍是必要的。”

　下面的其他提示对MongoDB管理员有用：

       关闭公网的访问入口，把门关上；

　　检查MongDB帐户以查看是否没有人添加了密码（admin）用户。

　　检查GridFS以查看是否有人存储任何文件。

　　检查日志文件以查看谁访问了MongoDB（show log global命令）。

以上内容整理自安全牛等网络。

转载请务必注明来自168大数据