พบแคมเปญ Mongo Lock ลบฐานข้อมูลเพื่อเรียกค่าไถ่

Bob Diachenko นักวิจัยด้านความมั่นคงปลอดภัยได้ไปพบกับแคมเปญ Mongo Lock หรือการที่แฮ็กเกอร์ค้นหาเซิร์ฟเวอร์ MongoDB ที่ไม่มีมาตรการป้องกันการเข้าถึงจากภายนอก โดยใช้แพลตฟอร์มอย่าง Shodan.io หรือสแกนหาเป้าหมายผ่านอินเทอร์เน็ต จากนั้นก็เข้าไปลบ Database พร้อมกับทิ้งข้อความเรียกค่าไถ่นั่นเอง

Credit: MongoDB

หลักการง่ายมากคือแฮ็กเกอร์ใช้แพลตฟอร์มการค้นหาที่มีประสิทธิภาพสูงอย่าง Shodan.io หรือการสแกนผ่านอินเทอร์เน็ตเพื่อค้นหาเซิร์ฟเวอร์ MongoDB จากนั้นเข้าไป Export ฐานข้อมูลออกมาก่อนและลบฐานข้อมูล พร้อมกับทิ้งข้อความเรียกค่าไถ่ไว้ในไฟล์ Readme ภายใต้โฟลเดอร์ Warning นอกจากนี้มีการโจมตีเกิดขึ้นหลายครั้งซึ่งข้อความเรียกค่าไถ่มีหลายรูปแบบ เช่น ทิ้ง Bitcoin address หรือที่อยู่อีเมล โดยบ้างก็อ้างว่า Database ถูกนำออกมาแล้ว ถ้าจ่ายเงินค่าไถ่จะได้คืนหรือบางครั้งก็บอกว่า Database ถูกเข้ารหัสไว้เป็นต้น

อย่างไรก็ตามดูเหมือนว่า Script ของคนร้ายบางครั้งก็ไม่สามารถทำงานได้สมบูรณ์เพราะเกิดความผิดพลาดบางอย่าง สาเหตุที่แคมเปญการโจมตีนี้เกิดขึ้นเพราะฐานข้อมูล MongoDB สามารถเข้าถึงได้จากทางไกลและไม่ได้รับการปกป้องที่ดีพอ แต่การป้องกันนั้นก็ทำได้ไม่ยากเลยเพราะทาง MongoDB ได้ให้แนะนำไว้อย่างดีสามารถติดตามได้ที่นี่ ดังนั้นอย่าลืมป้องกันไว้ก่อนดีกว่ารอเกิดเหตุค่อยแก้ทีหลังครับ

ที่มา : https://www.bleepingcomputer.com/news/security/mongo-lock-attack-ransoming-deleted-mongodb-databases/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ยกเลิกการสนับสนุนโปรโตคอล VPN แบบ PPTP และ L2TP ใน Windows Server

Microsoft ประกาศยกเลิกการสนับสนุนโปรโตคอล VPN แบบ PPTP และ L2TP ใน Windows Server แนะนำให้ใช้งานโปรโตคอล SSTP และ IKEv2 แทน

รู้จักกับโซลูชัน AlgoSec ผู้เชี่ยวชาญด้าน Network Security Policy Management โดย GrowPro และ Perion Solution

หากคุณกำลังเผชิญกับความยุ่งยากจาก Firewall Policy นับพันรายการ หรือนโยบายการใช้โซลูชันป้องกันหลายแบรนด์ ซึ่งทำให้เวลาส่วนใหญ่จมกับกับการบริหารจัดการ แถมเกิดความผิดพลาดได้บ่อยครั้ง โซลูชัน Network Security Policy Management อาจเป็นคำตอบสำหรับคุณ