Хакер стирает данные из MongoDB и требует выкуп

Неизвестный киберпреступник получил несанкционированный доступ к 29 тыс. баз данных MongoDB, доступных через интернет без какого-либо пароля, и оставил в них записку с требованием выкупа. 29 тыс. – это 47% от всех подключенных к Сети установок MongoDB.

С помощью скрипта автоматизации злоумышленник находит в интернете незащищенные базы данных, стирает их контент и оставляет записку с требованием 0,015 биткойна (порядка $140). На уплату выкупа жертвам дается два дня, после чего киберпреступник грозится опубликовать похищенные данные и сообщить об утечке местному органу, ответственному за соблюдение «Общего регламента по защите данных» (GDPR).

Вредоносная кампания продолжается с апреля 2020 года. Как сообщил изданию ZDNet специалист GDI Foundation Виктор Геверс (Victor Gevers), изначально злоумышленник не удалял данные из БД. Он оставлял записку с требованием выкупа, а через несколько дней повторно подключался к БД и оставлял записку снова. Однако впоследствии киберпреступник понял свою ошибку, исправил скрипт, и теперь он удаляет содержимое баз данных.

Хотя некоторые установки MongoDB являются тестовыми, по словам Геверса, в ходе кампании пострадали и производственные системы, а некоторые предприятия также лишись резервных копий своих данных.

На днях Геверс также сообщил о том, что киберпреступная группировка Cl0ud SecuritY взламывает устаревшие сетевые хранилища (NAS) LenovoEMC (в прошлом Iomega), стирает все файлы и требует $200-275 за их возвращение.