Hacker-Angriffe auf MongoDB treffen fast 27.000 Datenbanken
Erpresserische Angriffe auf sicherheitsanfällige MongoDB-Datenbanken liegen bei Online-Kriminellen bereits seit Ende letzten Jahres im Trend. Nun geht die Abzocke weiter: Drei neue Hackergruppen fordern Bitcoins im Tausch gegen Datenbankinhalte.
(Bild: dpa, Frank Rumpenhorst/Archiv)
Vergangene Woche haben insgesamt drei Hackergruppen Angriffe auf Installationen der NoSQL-Datenbank MongoDB verübt. Wie aus einer von Sicherheitsforschern angelegten Google-Docs-Tabelle hervorgeht, wurden fast 27.000 Datenbanken erfolgreich gekapert. Demnach gingen 22.500 der Attacken auf das Konto einer Gruppe mit der E-Mail-Adresse cru3lty@safe-mail.net.
Den Hackern geht es ums Geld: Sie scannen nach öffentlich übers Internet erreichbaren MongoDB-Datenbanken, kopieren sie und löschen den Inhalt. Dann hinterlassen sie eine Lösegeldforderung samt Bitcoin- und zu kontaktierender E-Mail-Adresse. Die Forderungen reichen in aktuellen Fällen von 0,05 bis 0,2 Bitcoins (umgerechnet zwischen 197 und 790 Euro).
Nach Angaben des Nachrichten-Portals Bleepingcomputer waren die meisten der letzte Woche angegriffenen Datenbanken Bestandteil von Testsystemen und somit irrelevanten Inhalts. Dennoch gingen die Hacker nicht ganz leer aus: Der Spreadsheets-Tabelle ist zu entnehmen, dass die "cru3lty"-Gruppe bis zum jetzigen Zeitpunkt insgesamt rund 0,6 Bitcoins – umgerechnet etwa 2350 Euro – erbeutete. Bleepingcomputer berichtet allerdings, dass auch im Anschluss an die Lösegeldzahlung keine Wiederherstellung der Datenbankinhalte erfolgte. Vielleicht hatten die Angreifer gar keine Sicherungskopie erstellt.
MongoDB-Erpressungen setzen sich fort
Die Sicherheitsforscher Dylan Katz and Victor Gevers, die die aktuellen Angriffe entdeckten, sehen sie als Fortsetzung einer Angriffswelle, die bereits Ende Dezember 2016 begann und sich nahezu über das gesamte Jahr erstreckte. Die Gesamtzahl aller in der Tabelle dokumentierten Angriffe auf MongoDB-Datenbanken beläuft sich mittlerweile auf rund 75.700. Hinzu gesellten sich im Laufe des Jahres ganz ähnliche Erpresser-Angriffe auf ElasticSearch-, Cassandra-, CouchDB- und Hadoop- sowie MySQL-Installationen.
Gegenüber Bleepingcomputer schilderte Gevers, dass er Fälle beobachtet habe, in denen Datenbanken im Anschluss an ein bereits eingespieltes Backup erneut von derselben Hackergruppe angegriffen wurden. Der Grund hierfür sei, dass die Opfer es versäumt hätten, die Datenbank nach dem ersten Angriff vernünftig abzusichern.
Offene Datenbanken sind altbekanntes Problem
Öffentlich über das Internet erreichbare MongoDB-Datenbanken sind seit Jahren ein bekanntes Problem. Wer es drauf anlegt, kann sie mit vergleichsweise wenig Aufwand über die Suchmaschine Shodan finden.
Das Problem ist, dass viele Admins noch alte, zum Teil verwundbare Versionen der Datenbank verwenden. Diese sind in der Standardkonfiguration für jedermann über das Internet erreichbar. Admins sollten also sicherstellen, dass sie die aktuelle Version der MongoDB-Datenbank installiert haben. Zusätzlich sollten sie auch die Sicherheitstipps der Entwickler befolgen, denn oft kommen unsichere Konfigurationen zum Einsatz, bei denen etwa der Port 27017 Verbindungen aus dem Internet zulässt. (ovw)
