Криптовымогатели продают инструмент для атаки на системы использующие MongoDB, Hadoop и ElasticSearch
В начале января этого года группа из 21 хакера провела масштабную серию кибератак, жертвами которой стали системы, использующие MongoDB. За пять дней было инфицировано порядка 21600 баз данных MongoDB, а только злоумышленники, называющие себя Kraken Group получили выкупов на сумму в 9,8 BTC (около 7700$).
Но даже после активного противодействия атаке и освещения проблемы в зарубежной профессиональной прессе и блогосфере, хакеры останавливаться не собираются. К концу января все кто хотел заплатить — заплатили, но группа останавливаться не собирается.
После того, как основная волна выкупов иссякла, а в рядах самих хакеров началась путаница на тему «кто и что заразил», в Kraken Group было принято решение еще немного подзаработать и хакеры занялись продажей инструмента, которым они атаковали базы данных. Стоимость скрипта составляет всего 200$. При этом размер выкупа базы данных у злоумышленников составлял 0,2 BTC или около 184$.
selling Kraken Mongodb ransomware c# source codeprice: 200USD in bitcoins
This [EXPLETIVE] is very fast Multi-Threaded can handle 1000+ ips per second and way more if you got powerful 10GBs port
CPU load is very low, RAM is important if you have big ip list (included with source code)what you’ll get:
* kraken source code
* 100,000 ip list with mongodb open
* mass mongodb scanner to scan the whole internet ip range for open mongodbs
Объявление о продаже на Pastebin
Всего по статистике ZoomEye в сети существует около 100 000 открытых систем, использующих MongoDB, ip-адреса которых и предлагаются вместе с инструментом. Kraken Group заразила почти пятую часть из них. До кого-то они не смогли добраться чисто физически, кто-то из администраторов предпринял меры по обеспечению безопасности системы, когда об атаке стало широко известно.
Атаке подвергались открытые базы, которые методом парсинга находили в сети. То есть злоумышленники эксплуатируют не уязвимость в самой БД, а исключительно лень администраторов. Примерно неделю назад хакеры добавили в скрипт скан открытых БД на Hadoop и ElasticSearch.
Если вы являетесь администратором одной из этих БД, убедитесь, что они надежно защищены.
