MongoDB赎金攻击激增将GDPR用作勒索手段

MongoDB

大量的攻击针对不安全的MongoDB服务器并清除其数据库。留下的票据要求赎金,否则数据将被泄露,并且业主报告了违反GDPR的情况。

由非营利性GDI基金会主席Victor Gevers跟踪,攻击者正在Internet上扫描不安全的MongoDB服务器。

一旦获得对服务器的访问权限,便会擦除数据库并创建一个名为“ READ_ME_TO_RECOVER_YOUR_DATA”的新数据库。

用赎金票据擦拭MongoDB数据库
用赎金票据擦拭MongoDB数据库

在此数据库中,有一个名为“ README”的集合,其中包含赎金说明,说明他们的数据已“备份”,受害人必须支付0.015 BTC(135.55美元)才能恢复其数据。 

"All your data is a backed up. You must pay 0.015 BTC to 13JwJDaU3xdNFfcSySFCy95E2Tko18fiyB 48 hours for recover it. After 48 hours expiration we will leaked and exposed all your data. In case of refusal to pay, we will contact the General Data Protection Regulation, GDPR and notify them that you store user data in an open form and is not safe. Under the rules of the law, you face a heavy fine or arrest and your base dump will be dropped from our server! You can buy bitcoin here, does not take much time to buy https://localbitcoins.com with this guide https://localbitcoins.com/guides/how-to-buy-bitcoins After paying write to me in the mail with your DB IP: restore_base@tuta.io"

Gevers告诉BleepingComputer,物联网搜索引擎Shodan列出了1.5万个受影响的MongoDB,而BinaryEdge显示了2.3万个服务器。

当BleepingComputer对在Shodan上搜索MongoDB服务器进行快速测试时,我们很快发现大量服务器因这次攻击而被赎回,

Shodan上的Ransomed MongoDB服务器
Shodan上的Ransomed MongoDB服务器

使用违反GDPR的勒索策略

对不安全的数据库服务器的攻击并不是什么新鲜事物,过去,MongoDBElasticSearch数据库已成为大规模攻击的目标。

导致这种攻击脱颖而出的原因是,勒索者威胁说,如果不付款就泄漏数据库中的数据,然后向所有者报告违反GDPR的情况。

“到期48小时后,我们将泄漏并泄露您的所有数据。如果拒绝付款,我们将与GDPR通用数据保护条例联系,并通知他们您以开放形式存储用户数据,并不安全。根据法律规定,您将面临重罚或逮捕,您的基本转储将从我们的服务器上删除。”赎金记录中写道。

由于赎金数额很小,只有135.55美元,而且担心违反GDPR,Gevers认为这可能会引起某些人付款。然后,参与者知道数据对所有者有价值,并索取更多金钱。

“诀窍是,如果您付款,那么您希望您的数据归还,而不会给GDPR带来麻烦。因此,这意味着您愿意为勒索更多而付出更多?人们为真正有价值的数据付款。因此,他们找出了什么有价值,我想。”

从初步分析来看,Gevers不认为数据在擦除之前已备份。

尽管他仍在进行更多分析,但强烈建议您不要支付任何赎金,因为这不太可能取回您的数据。

 

*编译:Domino

*来自:bleepingcomputer