- Новое
- Добавить закладку
- #1
Злоумышленники нацеливаются на открытые экземпляры MongoDB в автоматизированных атаках с вымогательством данных, требуя от владельцев небольшие выкупы за восстановление информации.
Атакующий фокусируется на «лёгкой добыче» — базах данных, небезопасных из-за ошибок конфигурации, которые позволяют получать доступ без ограничений. Было скомпрометировано около 1 400 открытых серверов, а в записке с требованием выкупа запрашивалась сумма около $500 в биткойнах.
До 2021 года наблюдалась волна атак, в ходе которых удалялись тысячи баз данных и требовался выкуп за восстановление информации. Иногда злоумышленник просто удаляет базы данных без каких-либо финансовых требований.
Пентест, проведённый исследователями компании по кибербезопасности Flare, показал, что эти атаки продолжаются, хотя и в меньших масштабах.
Исследователи обнаружили более 208 500 публично доступных серверов MongoDB. Из них 100 000 раскрывают операционную информацию, а к 3 100 можно получить доступ без аутентификации.
Почти половина (45,6%) экземпляров с неограниченным доступом уже была скомпрометирована на момент анализа Flare. Базы данных были очищены, и оставлена записка с требованием выкупа.
Анализ записок с вымогательством показал, что в большинстве случаев требовалась оплата 0,005 BTC в течение 48 часов.
«Злоумышленники требуют оплату в биткойнах (часто около 0,005 BTC, что на сегодняшний день эквивалентно $500–600 USD) на указанный адрес кошелька, обещая восстановить данные», — говорится в отчёте Flare.
«Однако нет никакой гарантии, что у атакующих действительно есть данные или что они предоставят рабочий ключ расшифровки после оплаты».
Во всех обнаруженных записках фигурировали лишь пять различных адресов кошельков, причём один из них встречался примерно в 98% случаев, что указывает на одного злоумышленника, сосредоточенного на этих атаках.
Flare также комментирует оставшиеся открытые экземпляры, которые, судя по всему, не подверглись атакам, несмотря на публичную доступность и слабую защиту, предполагая, что их владельцы могли уже заплатить выкуп злоумышленникам.
Помимо слабых механизмов аутентификации, исследователи обнаружили, что почти половина (95 000) всех доступных из интернета серверов MongoDB работает на устаревших версиях, уязвимых к n-day уязвимостям. Однако потенциал большинства из них ограничивался атаками типа «отказ в обслуживании» и не позволял удалённое выполнение кода.
- Источник: https://www.bleepingcomputer[.]com/...ces-still-targeted-in-data-extortion-attacks/
Атакующий фокусируется на «лёгкой добыче» — базах данных, небезопасных из-за ошибок конфигурации, которые позволяют получать доступ без ограничений. Было скомпрометировано около 1 400 открытых серверов, а в записке с требованием выкупа запрашивалась сумма около $500 в биткойнах.
До 2021 года наблюдалась волна атак, в ходе которых удалялись тысячи баз данных и требовался выкуп за восстановление информации. Иногда злоумышленник просто удаляет базы данных без каких-либо финансовых требований.
Пентест, проведённый исследователями компании по кибербезопасности Flare, показал, что эти атаки продолжаются, хотя и в меньших масштабах.
Исследователи обнаружили более 208 500 публично доступных серверов MongoDB. Из них 100 000 раскрывают операционную информацию, а к 3 100 можно получить доступ без аутентификации.
Почти половина (45,6%) экземпляров с неограниченным доступом уже была скомпрометирована на момент анализа Flare. Базы данных были очищены, и оставлена записка с требованием выкупа.
Анализ записок с вымогательством показал, что в большинстве случаев требовалась оплата 0,005 BTC в течение 48 часов.
«Злоумышленники требуют оплату в биткойнах (часто около 0,005 BTC, что на сегодняшний день эквивалентно $500–600 USD) на указанный адрес кошелька, обещая восстановить данные», — говорится в отчёте Flare.
«Однако нет никакой гарантии, что у атакующих действительно есть данные или что они предоставят рабочий ключ расшифровки после оплаты».
Во всех обнаруженных записках фигурировали лишь пять различных адресов кошельков, причём один из них встречался примерно в 98% случаев, что указывает на одного злоумышленника, сосредоточенного на этих атаках.
Flare также комментирует оставшиеся открытые экземпляры, которые, судя по всему, не подверглись атакам, несмотря на публичную доступность и слабую защиту, предполагая, что их владельцы могли уже заплатить выкуп злоумышленникам.
Помимо слабых механизмов аутентификации, исследователи обнаружили, что почти половина (95 000) всех доступных из интернета серверов MongoDB работает на устаревших версиях, уязвимых к n-day уязвимостям. Однако потенциал большинства из них ограничивался атаками типа «отказ в обслуживании» и не позволял удалённое выполнение кода.
- Источник: https://www.bleepingcomputer[.]com/...ces-still-targeted-in-data-extortion-attacks/