导语:上个月,全球范围内大量 MongoDB因为配置不当导致公网匿名可访问,遭到勒索软件攻击,删除业务数据并索要赎金后才给恢复数据。
上个月,全球范围内大量 MongoDB因为配置不当导致公网匿名可访问,遭到勒索软件攻击,删除业务数据并索要赎金后才给恢复数据。近日,GuardiCore警告称,成千上万的MySQL数据库正成为勒索软件攻击的潜在受害者,这似乎是MongoDB“洗劫”活动的升级。
攻击诱因
“逐利”是攻击者最大的驱动力,只要收益高于成本就值得干一票。如今,互联网公司大量使用各种开源数据库保存重要的业务数据,一旦数据被毁且无法恢复,会造成较大损失。此外,这类互联网公司有相当一部分安全防护意识薄弱,攻击成本低,也有一定能力支付较小金融的赎金,于是这波人就成了勒索软件理想的攻击目标。
新一轮攻击目标——MySQL数据库
作为攻击行为的一部分,攻击者会暴力破解未设防的MySQL服务器,枚举现有的数据库及表格,窃取数据,随后创建一个新的图表来指导用户支付0.2比特币(约合200美元)的赎金。攻击者声称,支付赎金后就会为受害者提供访问数据库的权限,但是这并不是事实的全部,因为有些数据是被删除了而并非被盗。
今年1月份曝光了类似的攻击事件,负责监视MongoDB和Hadoop数据库受攻击情况的安全研究人员Victor Gevers表示,共有28000个未设防的MongoDB数据库遭到入侵,攻击者窃取数据勒索0.2比特币(约合200美元)赎金。不久后,更多的攻击者开始针对未设防的开源数据库发起勒索攻击,造成30000多个MongoDB及Elasticsearch应用,126 个Hadoop应用和452个CouchDB应用遭到入侵。
和攻击MongoDB 及Elasticsearch时一样,攻击者利用的是Hadoop和CouchDB的默认安装配置,也就是可以在不需要凭证或很容易得到凭证的情况下进行简单的攻击。
研究人员还发现,攻击者会在目标数据库上复写彼此的勒索信,且他们不再是复制原始数据,而是直接删除这些数据,所以受害者即便支付了赎金也无法检索到数据。
现在,MySQL数据库也成为新一轮攻击目标:攻击者通过在线工具可以搜索使用弱密码的服务器,然后通过暴力破解获得访问权限,随后用自己创建的图表替换原有数据库并附上勒索信息。在某些情况下,他们还会直接删除数据库,这样一来,即便受害者交付赎金也无法恢复数据。
根据安全公司的分析发现,从2月12日午夜开始的30个小时内共观察到数百次攻击活动。所有的攻击行为被追溯到同一IP地址(109.236.88.20),攻击服务器都由worldstream.nl(一家荷兰web托管公司)托管。研究人员认为,攻击者当时使用了一个受损邮件服务器,该服务器同时也作为HTTP/HTTPS和 FTP服务器。
GuardiCore研究主管Ofri Ziv在回复邮件调查时表示,目前此类攻击已经蔓延至全球各地,且没有显示出指向任何特定数据库的迹象。对于受损数据库的问题,他暂时不能提供一个准确的估算数字,但是他说,
由于易受攻击的弱密码问题,全球成千上万的MySQL服务器正在面临网络威胁。
针对MySQL的攻击手法和MongoDB非常相像,一开始攻击者都会留给受害者一封名为“WARNING”和“PLEASE_READ”的勒索信。然而,Ziv认为目前还没有办法确定现在针对MySQL服务器的,是否与当时针对MongoDB的属于同一帮黑客所为。但即便不是同一帮人所为,也肯定是受其启发所为。
虽然勒索信中的比特币地址显示了活动迹象,但是GuardiCore认为那并不是受害者实际上交付了赎金的证据。因为交易行为可能是攻击者自导自演的,目的是为了鼓励受害者支付赎金。
GuardiCore在一篇博文中写道,
在交付赎金之前,我们强烈建议您先去确认攻击者是否真的掌握了你的数据,以及这些数据是否能在交付赎金后得以恢复。因为在我们监控攻击的过程中,找不到任何数据转储和渗漏操作。
针对MySQL服务器面临的风险问题,安全公司指出,必须确保安全管理员使用了强密码和强制性认证;严格限制访问源,而且最好在防火墙上限制;修改默认开放端口等。
GuardiCore还指出,实时监控你的联网设备/服务器是能够快速响应泄漏事件至关重要的一步。如此一来,你的安全团队就能够为这些服务器/设备执行合适的设置(如防火墙、数据限制等)。定期数据备份可以在必要时刻帮助你恢复大部分有价值的数据,不用等到攻击发生时,被迫交付赎金来恢复数据。