最新一波勒索病毒攻擊鎖定的目標是 MongoDB 資料庫,全球已有數以萬計的伺服器受害。根據媒體報導,有多個駭客集團共同策劃了這一波攻擊,其中一個集團已經駭入了 22,000 台伺服器。
駭客專門攻擊可公開存取並採用預設值設定的資料庫,他們不僅會刪除資料,還會將資料替換成勒索訊息:
「We have your data. Your database is backed up to our servers. If you want to restore it, then send 0.15 BTC [$650] and text me to email, just send your IP-address and payment info. Messages without payment info will be ignored.」(你的資料在我們手上,我們已經將資料備份到我們的伺服器。如果你想要回資料,就匯 0.15 個比特幣 [約 650 美元] 給我,並用電子郵件把你的 IP 位址和付款資訊寄給我。郵件內若無付款資訊我們將會忽略。)
去年下半年,MongoDB 資料庫也曾經成為攻擊目標,至少有 40,000 個受害案例。
這些網際網路上的資料庫遭到駭客攻擊,其實不令人意外。而且針對 MongoDB 的攻擊其實並非獨立事件,其他如 ElasticSearch、Hadoop 和一些網路上可公開存取的資料來源,都曾在今年遭到類似攻擊。歹徒以資料為目標顯然有利可圖,因為資料在地下市場有價值,而勒索病毒攻擊一再證明受害者付錢的意願頗高。
根據 GDI Foundation 主席 Victor Gevers 與另一位研究員合作整理並更新的一份 Google Docs 試算表顯示,駭客總共已經收到 275 筆匯款,總計獲利超過 24 比特幣 (約 110,100 美元)。
如何降低風險?
要防範 MongoDB 資料庫遭駭客攻擊,使用者應確實遵守該程式的資安檢核表建議。這份檢核表列出了一些確保資料庫安全的作法,包括:強制使用驗證、啟用存取控管、盡量避免暴露在網際網路上。此外亦應考慮採用目前最流行的 MongoDB 安裝軟體 (RPM) 來安裝,因為該軟體會預設限制只能從區域網路內存取資料庫。
使用者應重新思考自己是否真的需要將公開的資料庫直接連上網際網路。如果真有必要,那麼就應該徹底了解自己有甚麼樣的解決方案 (包括技術和服務) 來保護其安全。考慮限制前端發送資料庫查詢的使用者權限,此外,每次的連線階段也應使用非重複識別碼 (ID),而非整個應用程式重複使用同一識別碼。
在決定好您要部署的應用程式及地點之後,應先進行一些基本測試來確保組態設定正確。如同一般部署測試一樣,您也應該執行一些基本測試來看看服務存取的位置是否適當。
原文出處:Hacking Groups Attack More than 20 Thousand MongoDB Databases