Выявлено вымогательское ПО, поражающее незащищенные СУБД MongoDB

В Сети зафиксирована новая атака на серверы с СУБД MongoDB, доступные без аутентификации Выявлено около 2000 пораженных систем, на которых имеющиеся данные были удалены, а в БД добавлена таблица "WARNING_ALERT", содержащее запись с требованием выплатить 0.2 или 0.5 Bitcoin ($200 или $550) за восстановление информации (в сообщении утверждается, что данные зашифрованы, но на деле они просто удалены).

Среди пораженных оказались конфигурации MongoDB, доступные для сетевых соединений извне и не использующие аутентификацию доступа. Подобная особенность связана с тем, что до версии 3.0 в MongoDB по умолчанию предлагались настройки, подразумевающие присоединение ко всем сетевым интерфейсам без задания параметров аутентификации. В MongoDB 3.0 по умолчанию была осуществлена привязка к localhost, но многие системы, обновившиеся с MongoDB 2.x, сохранили прежние настройки в конфигурации, а привязка к внешним сетевым интерфейсам осталась незамеченной. Например, до сих пор остается открыта база одного из крупных сотовых операторов связи c данными о звонках абонентов, содержащая более 853 миллиардов записей.

Если ранее подобная беспечность использовалась приводила к утечке данных, например данный способ использовался для захвата учетных записей 13 миллионов пользователей программы MacKeeper, то теперь злоумышленники перешли к применению шантажа, надеясь заработать на серверных системах с ненадлежащим резервным копированием (расчет сделан на то, что проблема будет выявлена администраторами после праздников, а за выходные резервные копии с реальными данными могут быть вытеснены резервными копиями с зашифрованными атакующим данными). С проблемой уже столкнулось одно из учреждений здравоохранения США, у которого оказался блокирован доступ к 200 тысячам записям пациентов.