- PVSM.RU - https://www.pvsm.ru -

Криптовымогатели продают инструмент для атаки на системы использующие MongoDB, Hadoop и ElasticSearch

image

В начале января этого года группа из 21 хакера провела масштабную серию кибератак [1], жертвами которой стали системы, использующие MongoDB. За пять дней было инфицировано порядка 21600 баз данных MongoDB, а только злоумышленники, называющие себя Kraken Group получили выкупов на сумму в 9,8 BTC (около 7700$).

Но даже после активного противодействия атаке и освещения проблемы в зарубежной профессиональной прессе и блогосфере, хакеры останавливаться не собираются. К концу января все кто хотел заплатить — заплатили, но группа останавливаться не собирается.

После того, как основная волна выкупов иссякла, а в рядах самих хакеров началась путаница на тему «кто и что заразил», в Kraken Group было принято решение еще немного подзаработать и хакеры занялись продажей инструмента [2], которым они атаковали базы данных. Стоимость скрипта составляет всего 200$. При этом размер выкупа базы данных у злоумышленников составлял 0,2 BTC или около 184$.

selling Kraken Mongodb ransomware c# source code

price: 200USD in bitcoins

This [EXPLETIVE] is very fast Multi-Threaded can handle 1000+ ips per second and way more if you got powerful 10GBs port
CPU load is very low, RAM is important if you have big ip list ( included with source code )

what you'll get:
* kraken source code
* 100,000 ip list with mongodb open
* mass mongodb scanner to scan the whole internet ip range for open mongodbs

Объявление о продаже на Pastebin

Всего по статистике ZoomEye в сети существует около 100 000 открытых систем, использующих MongoDB, ip-адреса которых и предлагаются вместе с инструментом. Kraken Group заразила почти пятую часть из них. До кого-то они не смогли добраться чисто физически, кто-то из администраторов предпринял меры по обеспечению безопасности системы, когда об атаке стало широко известно.

Атаке подвергались открытые базы, которые методом парсинга находили в сети. То есть злоумышленники эксплуатируют не уязвимость в самой БД, а исключительно лень администраторов. Примерно неделю назад хакеры добавили в скрипт скан открытых БД на Hadoop и ElasticSearch.

Если вы являетесь администратором одной из этих БД, убедитесь, что они надежно защищены.

Автор: Inoventica Services

Источник [3]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/237736

Ссылки в тексте:

[1] масштабную серию кибератак: http://www.theregister.co.uk/2017/01/09/mongodb/

[2] занялись продажей инструмента: https://www.bleepingcomputer.com/news/security/kraken-group-puts-mongodb-hijacking-script-up-for-sale/

[3] Источник: https://habrahabr.ru/post/320550/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best