Tisíce uživatelů databáze MongoDB se v posledních několika dnech dostalo do nepříjemné situace. Neznámý útočník napadl jejich systém, vymazal veškerá data a nahradil je jedinou tabulkou, ve které informuje o své činnosti a za obnovení dat a záplatování chyby požaduje platbu v bitcoinech.
Případů navíc velmi rychle přibývá, zatímco před týdnem byly napadeny dva tisíce instalací MongoDB, v pondělí se hovořilo o deseti tisících a během jednoho dne došlo k nárůstu na 27 000. Zdá se, že se tento druh vydírání stal doslova přes noc velmi populárním. Současný stav věci jasně ukazuje na fakt, že nejde zdaleka jen o jednoho útočníka, ale mnozí se nechali inspirovat původní myšlenkou a začali podnikat na vlastní pěst.
Různí útočníci, stejný cíl
Původní útočník používal přezdívku Harak1r1 a za obnovení databáze požadoval 0,2 bitcoiny (BTC), tedy asi 5000 Kč. Jeho kontaktní e-mail ale přestal existovat a oběti se tak nemají kam obrátit, i kdyby chtěly výkupné zaplatit. Zato začaly vznikat další přezdívky jako Kraken0, mongo3l1t3 a 0wn3d, za kterými zřejmě stojí jiní útočníci. Princip jejich činnosti je sice podobný, ale nechovají se úplně stejně a například požadují různě vysoké výkupné – od 0,1 BTC (2500 Kč) až po 1 BTC (25 000 Kč).
Na problém upozorňují oficiální stránky MongoDB a zabývají se jím také dva významní bezpečnostní experti: Victor Gevers a Niall Merrigan, kteří společně monitorují situaci a průběžně aktualizují tabulku s informacemi o útočnících a obětech. V době psaní článků bylo obětí více než 32 000.
First time #mongodb ransomed db name passes out system db name in the stats. Estimated 32K servers now.. Data point @shodanhq 20H00 pic.twitter.com/LhtoqXrn8t
— Niall Merrigan (@nmerrigan) January 10, 2017
Průběh je vždy velmi podobný: útočník si pomocí služby Shodan vyhlédne výchozí instalaci MongoDB s otevřeným portem 27017 a bez přístupového hesla. Poté databázi smaže a nahradí ji vlastním obsahem. Součástí je i vyděračský text, například následujícího znění:
Your database has been pwned because it is publically accessible at port 27017 with no authentication (wtf were you thinking?). Your data has been dumped (with data types preserved), and is easily restoreable. To get your data back, email the supplied email after sending 0.15BTC to the supplied Bitcoin wallet, do this quickly as after 72 hours your data will be erased (if an email is not sent by then). We will get back to you within 2 days. All of your data will be restored to you upon payment via a email response.
Útočníci slibují, že pokud oběť zareaguje rychle a pošle požadovaný obnos (v tomto konkrétním případě asi 3700 Kč), budou data obnovena. Podle uvedených bitcoinových peněženek někteří uživatelé skutečně zaplatili, odborníci však varují, že neexistuje záruka, že vyděrači data skutečně mají a jsou ochotni je poskytnout. Pokud už se oběti rozhodnou zaplatit, měly by požadovat důkaz o kopii databáze.
Victor Gevers tvrdí, že se mu ozvalo několik podvedených uživatelů, kteří zaplatili a data zpět nedostali. Dostávám negativní reakce od lidí, kteří zaplatili skupině Kraken a nedostali žádnou odpověď. Včera si na to stěžovalo 12 obětí,
píše Gevers.
Slušný byznys
Podle peněženky skupiny Kraken zaplatilo 90 obětí z 16 000. Jde sice jen o nepatrnou část obětí, ale přesto jde o velmi výnosný byznys. Za pět dní si útočníci přišli na 9,4 BTC, tedy v přepočtu více než 200 tisíc korun. Navíc to vypadá, že si někdo na útocích na MongoDB založil živnost, protože část skupin realizuje útok přes stejnou IP adresu: 46.166.173.106. Gevers se proto domnívá, že jde o nějaký druh služby automatizující tento druh útoku. V každém případě je útok plně automatizovaný.
Někteří současný stav označují za „apokalypsu MongoDB“, ale ve skutečnosti jde jen o další zneužití otevřeného přístupu. Proti podobné administrátorské chybě není odolný žádný software. Zároveň by toho ale hodně mohli udělat sami vývojáři, kteří by mohli ve výchozí instalaci vynutit volbu silného administrátorského hesla a neotevírat přístup do internetu.
ČLÁNKY DO MAILU