MongoDB-databases worden twee jaar na eerste aanvallen nog steeds gegijzeld

Diverse hackergroeperingen begonnen twee jaar geleden met het aanvallen van MongoDB-databases en ze te gijzelen voor losgeld. Die praktijken blijken nu nog steeds actief, ontdekte ZDNet. De originele groeperingen stopten na een paar maanden, maar nieuwe groepen hebben zich in de afgelopen jaren aangesloten bij de aanvallen.

De trend begon in december 2016, toen hackers zich realiseerden dat ze bedrijven konden afpersen als ze hun databases niet beveiligd hadden met een wachtwoord en deze toegankelijk was via het internet. Op dat moment was dat bij 60.000 MongoDB-databases het geval, dus waren er voldoende doelwitten. Bij de eerste golf aan aanvallen downloadde de hackers de data naar hun systemen, verwijderden de data op de server van het bedrijf en lieten een bericht achter op de server waarin gevraagd werd om losgeld in ruil voor de data.

Al snel realiseerden de hackers zich echter dat er veel te veel data was om lokaal op te slaan. Binnen een paar weken begonnen ze data gewoon te verwijderen, maar lieten ze nog wel gijzelbriefjes achter in de hoop een slachtoffer zo ver te krijgen om te betalen voor data die de hackers niet hadden.

De aanvallen kregen de naam MongoDB Apocalypse. De hackers wisten ruim 28.000 servers aan te vallen in alleen al de eerste twee maanden aan het begin van 2017. Later begonnen hackers uit te breiden naar andere kwetsbare systemen, zoals ElasticSearch-, Hadoop-, CouchDB-, Cassandra- en MySQL-servers.

Nieuwe groepen

De Nederlandse beveiligingsonderzoeker Victor Gevers is een van de mensen die de aanvallen sinds het begin volgt. Hij volgt de hackersgroepen en hun aanvallen sinds 2017 in een Google Docs-bestand. Tegenover ZDNet stelt hij dat de aanvallen nog steeds bezig zijn. In de afgelopen maand ontdekte Gevers drie nieuwe groeperingen.

De groepen vielen bijna drieduizend MongoDB-databases aan, met dezelfde techniek als bij de eerste aanvallen. Ze maakten verbinding met een database zonder wachtwoord, verwijderden de data en lieten een briefje voor losgeld achter. Maar de groepen zijn volgens Gevers wel “onhandiger” dan eerdere hackers. “Meestal vergaten ze de database te verwijderen.” Twee van de groepen verdiende dan ook geen geld, de derde wist slechts 200 dollar op te halen.

“Het is duidelijk dat iemand een toolkit verkoopt, aangezien iedere aanval hetzelfde lijkt als andere”, stelt Gevers. “Alleen het e-mailadres, het Bitcoin-adres en het briefje voor losgeld veranderen.”