Gần 23.000 cơ sở dữ liệu MongoDB lại bị tấn công đòi tiền chuộc

An toàn thông tin - Ngày đăng : 14:31, 02/07/2020

Mới đây, tin tặc đã tải lên các thông báo đòi tiền chuộc đối với 22.900 cơ sở dữ liệu MongoDB bị lộ trực tuyến mà không có mật khẩu.

MongoDB là một hệ quản trị NoSQL mã nguồn mở được rất nhiều tổ chức trên thế giới sử dụng như eBay, Sourceforge, The New York Times và LinkedIn.

Theo trang ZDNet đưa tin, tin tặc đang sử dụng một tập lệnh tự động để quét các cơ sở dữ liệu MongoDB bị cấu hình sai, giúp chúng truy cập từ xa mà không cần bất cứ công cụ tấn công đặc biệt nào.

Theo kịch bản tấn công, tin tặc sẽ truy cập và xóa toàn bộ cơ sở dữ liệu MongoDB, chúng giữ một bản sao và yêu cầu quản trị viên tiền chuộc với giá 0,015 bitcoin (gần 140 USD).

 Gần 23,000 cơ sở dữ liệu MongoDB lại bị tin tặc tấn công đòi tiền chuộc - Ảnh 1.

Thông báo đòi tiền chuộc

Những kẻ tấn công cho các nạn nhân hai ngày để trả tiền chuộc và đe dọa sẽ tiết lộ dữ liệu của họ, sau đó liên hệ với cơ quan thực thi Quy định bảo vệ dữ liệu chung của châu Âu (GDPR) của nạn nhân để báo cáo về vụ rò rỉ dữ liệu.

Các cuộc tấn công có thông báo tiền chuộc này (READ_ME_TO_RECOVER_YOUR_DATA) đã được quan sát thấy vào đầu tháng 4 năm 2020.

Trao đổi với ZDNet, Victor Gevers, một nhà nghiên cứu bảo mật của GDI Foundation, cho biết các cuộc tấn công ban đầu không xóa sạch dữ liệu. Chúng chỉ kết nối tới cùng một cơ sở dữ liệu và để lại thông báo tiền chuộc. Tuy nhiên, giờ đây, sau khi đã truy cập vào cơ sở dữ liệu thì tin tặc đã sao chép (copy) toàn bộ dữ liệu trong hệ thống về một máy chủ riêng, xóa toàn bộ dữ liệu và để lại duy nhất một thông báo có mục đích hướng dẫn nạn nhân trả tiền chuộc.

"Tất cả đã biến mất," Gevers cho ZDNet biết.

Các cuộc tấn công tương tự xảy ra từ cuối năm 2016

Các cuộc tấn công "xóa cơ sở dữ liệu MongoDB và đòi tiền chuộc" không phải là mới. Trước đó, các nhà nghiên cứu an ninh Dylan Katz và Victor Gevers đã phát hiện ra các vụ tấn công vào MongoDB bắt đầu từ cuối tháng 12/2016. Trong những vụ tấn công này, nhiều nhóm tin tặc tìm kiếm cơ sở dữ liệu MongoDB vẫn còn để mở với kết nối ngoài, xóa sạch nội dung và thay bằng các nội dung tống tiền.

 Gần 23,000 cơ sở dữ liệu MongoDB lại bị tin tặc tấn công đòi tiền chuộc - Ảnh 2.

Hơn 28.000 máy chủ đã được trả tiền chuộc trong một loạt các vụ tấn công vào tháng 1 năm 2017, thêm 26.000 máy chủ vào tháng 9/2017 và sau đó là 3.000 máy chủ vào tháng 2/2019.

Quay trở lại năm 2017, Davi Ottenheimer, Giám đốc cấp cao về bảo mật sản phẩm tại MongoDB, Inc., cho biết đặc điểm của các máy chủ trong các vụ tấn công là không có bất kì cơ chế bảo vệ nào, kể cả mật khẩu. Tin tặchoặc bất kì ai đều có thể dễ dàng truy cập, sao chép và thay đổi dữ liệu. Đối với các cơ sở dữ liệu này việc tấn công là vô cùng đơn giản, đầu tiên kẻ tấn công có thể dễ dàng dò quét các máy chủ cài đặt MongoDB bằng việc chạy các lệnh để dò quyét cổng dịch vụ, dò quyét cơ chế xác thực để tìm ra các máy chủ không an toàn.

Sau 3 năm, mọi thứ dường như không có gì thay đổi. Các máy chủ này bị lộ trực tuyến sau khi quản trị viên thực hiện các hướng dẫn cấu hình MongoDB không chính xác, mắc lỗi khi cấu hình hệ thống của họ.

Các chuyên gia khuyến cáo cần thiết lập cơ sở dữ liệu MongoDB với các mặc định về bảo mật. Theo đó, trang bảo mật MongoDB là địa chỉ tốt nhất để nhận được các hướng dẫn đúng và chính xác.

TH