Hơn 27,000 cơ sở dữ liệu MongoDB bị tống tiền chỉ trong 1 tuần

Số lượng các cuộc tấn công ransomware vào MongoDB đã tăng lên gấp đôi chỉ trong một ngày. Tin tặc hiện đang truy cập, sao chép và xóa toàn bộ những cơ sở dữ liệu MongoDB chưa được cập nhật hoặc cấu hình yếu; rồi sau đó đe dọa quản trị viên trao đổi dữ liệu bằng tiền chuộc. Sự việc bắt đầu vào thứ hai tuần trước  khi nhà nghiên cứu bảo mật Victor Gevers phát hiện 200 cơ sở dữ liệu MongoDB đã bị xóa và đòi tiên chuộc, yêu cầu nạn nhân trả tiền để khôi phục dữ liệu. Vào thứ ba, con số này đã tăng lên xấp xỉ 2,000 cơ sở dữ liệu theo báo cáo của nhà sáng lập máy tìm kiếm Shodan John Matherly. Đến thứ sau, một vài nhà nghiên cứu khác đã cập nhật con số này lên 10,500. Và chỉ trong một ngày cuối tuần số lượng hệ thống bị xâm nhập lên tới 27,000. Ban đầu tin tặc yêu cầu 0.2 Bitcoin (gần 184 USD) nhưng hiện đã tăng lên 1 Bitcoin (khoảng 906 USD). Các nhà nghiên cứu đã tìm thấy hơn 15 tin tặc khác nhau; trong đó tin tặc có biệt danh karke0 đã xâm nhập 15,482 cơ sở dữ liệu MongoDB nhưng chưa nạn nhân nào trả tiền chuộc. Các cuộc tấn công xảy ra do quản trị viên cấu hình  MôngDB không sử dụng mật khẩu. Rất nhiều trong số đó có thể được tìm thấy thông qua máy tìm kiếm Shodan.

CÁCH BẢO VỆ 

Quản trị viên website sử dụng MongoDB được khuyến cáo thực hiện các bước sau:
  • Bật xác thực trong tệp tin cấu hình MongoDB — auth = true.
  • Sử dụng tường lửa — Nếu có thể hãy vô hiệu hóa truy cập từ xa vào MongoDB. Chặn cổng truy cập 27017 hoặc gán địa chỉ IP cục bộ nhằm hạn chế truy cập đến máy chủ.
  • Quản trị viên được khuyến cáo cập nhận MongoDB phiên bản mới nhất.

THN