MongoDB – wg. Wikipedii to „otwarty, nierelacyjny system zarządzania bazą danych napisany w języku C++, który charakteryzuje się dużą skalowalnością, wydajnością oraz brakiem ściśle zdefiniowanej struktury obsługiwanych baz danych”, który od 6 stycznia 2017 roku został zhackowany 28000 razy. Chociaż słowo „zhackowany” jest nieodpowiednie, bowiem to administratorzy tych baz danych wyjątkowo nie przykładali się do zabezpieczenia informacji wystawiając je publicznie bez odpowiedniej ochrony przed próbami logowania. Dlatego w wyniku działań grupy Kraken pozyskano do dnia dzisiejszego dostęp do około 28000 baz danych i wymuszono okup od wszystkich ofiar na łączną kwotę niecałych 7 BTC (~27000 zł).
MongdDB bez hasła i ransomware Kraken
Incydent przejmowania kontroli nad bazami danych MongoDB rozpoczął się kilka dni temu, kiedy napastnik piszący o sobie jako „Harakr1r1” przejął jedną z baz danych i zażądał okup od jego administratora w wysokości 0.2 BTC – na ten ślad przypadkiem natrafił Victor Gevers z GDI Fundation, który akurat przeszukiwał niezabezpieczone serwery z MongoDB, by poinformować o tym zdarzeniu zainteresowane podmioty.
Uspokajamy wszystkich informatyków. Przestępcy nie wykorzystywali żadnej nowo-odkrytej luki 0-day. W większości przypadków ich zarządcy pozostawali na tyle obojętni oraz okazywali się kompletnymi ignorantami, że bez ustanowienia żadnego hasła dostępowego pozwalali logować się do swoich systemów.
Płacić, czy nie płacić?
Jesteś jedną z ofiar grupy Kraken? Co teraz musisz zrobić?
Przede wszystkim upewnić się, że przestępcy faktycznie są w posiadaniu bazy danych – musisz uzyskać od nich niezbite dowody.
Płacić? Najlepiej nie – okazuje się, że nie wszystkie osoby, które zdecydowały się zapłacić, otrzymały możliwość odszyfrowania bazy danych.
Jeżeli nie posiadasz backupu, to masz nauczkę na przyszłość i już wiesz, że baza danych należąca nawet do malutkiego urzędu twojego miasta może być przedmiotem zainteresowań przestępców. Aby ją lepiej zabezpieczyć możesz skorzystać z tych instrukcji.
