حمله باجگیری به روش Mongo Lock موجب حذف پایگاههای دادهای MongoDB میشود
حملهای به نام Mongo Lock، با هدف پایگاههای دادهای محافظت نشده و قابل دسترسی از راه دور انجام میشود که پایگاههای دادهای را پاک میکند و در ازای بازگرداندن محتویات آنها درخواست باج میکند. این نوع حملات Mongo Lock، حملات جدیدی نیستند و مدت زمانی طولانی است که پایگاههای دادهای MongoDB مورد حمله مهاجمان قرار میگیرند. مهاجمان این هایجکها را از طریق جستجو در اینترنت و یا با استفاده از سرویسهایی مانند Shodan.io برای جستجوی سرورهای محافظت نشده MongoDB انجام میدهند. پس از اتصال به این سرورها، مهاجمان میتوانند پایگاههای دادهای را استخراج کنند و بعد آنها را پاک کنند و سپس یک یادداشت باجخواهی برای توضیح نحوه برگرداندن پایگاههای دادهای و دریافت پول باج ایجاد کنند. مهاجمان به یک پایگاه دادهای محافظت نشده متصل میشوند و آن را حذف میکنند و به جای آن یک پایگاه دادهای جدید به نام "warning" که در داخل مجموعه، فایلی به نام "Readme"وجود دارد، میسازند. مجموعه Readme حاوی یک یادداشت باجخواهی است که توضیح میدهد که پایگاه دادهای رمزگذاری شده است و قربانیان نیاز به پرداخت هزینهای برای بازیابی اطلاعاتشان دارند. در کمپین Mongo Lock، همانطور که در زیر نشان داده شده، مهاجمان آدرس بیت کوین را قرار نمیدهند، بلکه قربانی را مجبور میکنند که از طریق ایمیل با آنها تماس بگیرد. Your database was encrypted by 'Mongo Lock'. if you want to decrypt your database, need to be pay us 0.1 BTC (Bitcoins), also don't delete 'Unique_KEY' and save it to safe place, without that we cannot help you. Send email to us: mongodb@8chan.co for decryption service. در حملات دیگر آدرس بیت کوین نشان داده میشود تا قبل از تماس قربانی با مهاجمان ابتدا مقدار باج درخواستی پرداخت شود. { "BitCoin" : "3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH", "eMail" : "dbbackups@protonmail.com", "Exchange" : "https://www.coincola.com/", "Solution" : "Your Database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome!" } اگرچه که در یادداشت باجخواهی ادعا میشود که مهاجمان قبل از حذف پایگاه دادهای اطلاعات آن را استخراج کردهاند، اما هیچ تضمینی وجود ندارد که آنها اطلاعات را استخراج کرده باشند و به قربانی برگردانند. برای اینکه فرایند دسترسی به پایگاه داده MongoDB، خودکار و اتوماتیک شود، مهاجمان از یک اسکریپت استفاده میکنند تا فرایند استخراج کردن و حذف کردن و سپس ایجاد یادداشت باجخواهی اتوماتیک انجام شود. این اسکریپتها گاهی با نقص مواجه میشوند و دادهها هنوز هم برای قربانیان در دسترس هستند، حتی اگر یادداشت باجخواهی هم برای کاربران ایجاد شود. این حملات Mongo Lock بیشتر به دلیل دسترسی از راه دور پایگاه داده MongoDB و عدم امنسازی آن رخ میدهد و این حملات بهراحتی با پیروی از مراحل نسبتا ساده در تأمین امنیت پایگاههای دادهای خنثی میشود. MongoDB دارای یک مقاله خوب در مورد چگونگی امنسازی پایگاه دادهای است و حتی یک چک لیست امنیتی را برای مدیران برای دنبالکردن فراهم کرده است. دو قدم خیلی مهم که از این نوع حملات جلوگیری میکند، احراز هویت و همچنین غیرفعال کردن دسترسی به پایگاه دادهای از راه دور است.
مرکز ماهر
دانشگاه کردستان