この1週間で27,000以上のMongoDBデータベースがランサムウェアに感染

不安定なMongoDBインストールに対するransomware攻撃は、わずか1日で倍増しています。

ハンドルHarak1r1のハッカーは、パッチのない、または構成の悪いMongoDBデータベースにアクセスし、コピーし、削除し、失われたデータと引き換えに管理者に脅かす脅威を与えています。

これは、セキュリティ調査研究者のVictor GeversがMongoDBインストールの200件近くが身代金のために削除され保留されていることを確認し、犠牲者にデータを復元するための莫大な犠牲を払うよう求めたことから始まった。

火曜日までに、Shodan創始者のJohn Matherly氏の報告によると、この数字は約2,000のデータベースに達し、金曜日までに、Geversと仲間のセキュリティ研究者Niall Merriganがこの数を10,500に更新しました。

しかし、Merriganがまとめた最近の統計によると、侵害されたシステムの数は約12時間で2倍以上の27,000に達しています。

もっと悪い事に

最初の攻撃では0.2ビットコイン(約184米ドル)の攻撃者が身代金を払っていましたが、22人の犠牲者が支払ったようです。 しかし今、攻撃者は最大1BTC(約906米ドル)を要求しています。

研究者は15人の別個の攻撃者を記録している。そのうちの1人は、電子メールを処理するkraken0を使用している攻撃者が15,482件のMongoDBインスタンスを侵害し、誰も支払っていないようだが、Bitcoinに失われたデータを返すよう要求している。

これは、最初のストーリーが公開された後、ハッカーとハッカーグループのグループが、悪質な構成のMongoDBデータベースへのアクセス、コピー、削除を同じことをしていることを意味します。

誰にMongoDB Ransomwareの責任があるのでしょうか?

はい、誤って設定されたMongoDBデータベースを使用しているすべての管理者が、これらの攻撃が突然拡大した原因です。

いずれの場合も、ターゲットのMongoDBサーバにはパスワードなしで設定された管理者アカウントがありました。

Shodan検索エンジンを使用することで、安全性の低いMongoDBデータベースの多くを識別できます。Shodan検索エンジンは現在、99,000以上の脆弱なMongoDBインスタンスを表示しています。

これは、会社がMongoDBで簡単に認証を設定する方法を提供している場合です。

どのように防御すればよいのでしょうか?

ハッカーがデータを削除する前にデータをコピーしたという証拠はないので、高額な身代金の対価として既に削除されたデータベースを復元することは疑わしいものです。Geversは影響を受けるMongoDBデータベースの所有者に対し、支払いをしないように助言し、セキュリティ専門家の助けを得るよう勧めている。

彼とメリガンは、112人の犠牲者が露出したMongoDBデータベースを保護するのを手伝ってきました。MongoDBを使用するWebサイトを管理する人は、次の手順を実行することをお勧めします。

  • ネットワークが危険にさらされている場合、「徹底的な防御」を提供する認証を有効にします。 MongoDB設定ファイル – auth = trueを編集します。
  • ファイアウォールの使用 – 可能であれば、MongoDBへのリモートアクセスを無効にする。 ポート27017へのアクセスをブロックするか、ローカルIPアドレスをバインドしてサーバーへのアクセスを制限することで、一般的な落とし穴を回避します。
  • 管理者は、MongoDBソフトウェアを最新リリースに更新することを強く推奨します。

一方、MongoDBの開発者は、MongoDBのセキュリティに関する最新のガイドを公開し、これらの不正プログラムによる攻撃とその検出方法と防止方法、データの整合性チェック手順について説明しました。

参照:

http://thehackernews.com/2017/01/mongodb-database-security.html