大规模MongoDB勒索攻击又导致2.6万台服务器受影响

安全研究人员DylanKatz和VictorGevers发现了这些攻击，它们是开始于2016年12月末并在2017年初几个月一直持续发生的“MongoDB世界末日”活动的一部分。

在这些攻击中，多个黑客团伙扫描互联网查找可进行外部连接的MongoDB数据库、擦除它们的内容并用勒索要求取而代之。虽然多数被暴露的数据库都是测试系统，但一些数据库中包含生产数据而且一些公司最后支付勒索金后发现被骗，因为攻击者根本就没有掌握他们的数据。

新一轮MongoDB劫持攻击现身

多名安全研究员通过GoogleDocs电子表格追踪攻击后发现，攻击者至少破坏了4.5万个数据库。

这些勒索攻击从MongoDB扩展到其它服务器技术中，如ElasticSearch、Hadoop、CouchDB、Cassandra和MySQL服务器。在春夏两季，参与这些攻击的黑客组织减少，受勒索的服务器数量也随之下降。

攻击数量少但影响大

Gevers指出，“（新的）攻击者数量跟年初相比有所下降，但每次毁灭性攻击影响的（受害者）数量在增加。因此数量看似减少但影响在扩大。”从具体数字来看，第一波MongoDB攻击花费了近一个月的时间勒索4.5万个数据库，而Cru3lty团伙仅在上周就勒索了相当于第一波攻击一半数量的数据库。

Gevers指出，在某些案例中，勒索团伙劫持了用户的数据库，而用户从备份中恢复了一个数据库副本，而该团伙在同一天又勒索了这台服务器因为受害者未能正确保护数据库的安全。他指出现在需要搞清楚状况，比如受影响的MongoDB运行在老旧版本上，是否设置默认安全措施或者是否存在其它漏洞等。

黑客和安全研究员繁忙的一年

Gevers还指出，他将不得不引入一些外部专家帮助自己分析这起大规模的MongoDB劫持活动。

这并非因为Gevers及其同事无法开展调查，而实在是因为他们已经开始着手其它类型的易受攻击的联网设备，如密币挖矿机、Arris调制解调器或物联网设备等，因此心有余而力不足。

作为非营利性组织机构GDI基金会的主席，Gevers一直在忙着保护各种类型的设备，从AWS S3桶到Jenkins实例、从受“永恒之蓝”感染的计算机到含有敏感凭证的GitHub库等等不一而足。