Breaking News

พบแคมเปญ Mongo Lock ลบฐานข้อมูลเพื่อเรียกค่าไถ่

Bob Diachenko นักวิจัยด้านความมั่นคงปลอดภัยได้ไปพบกับแคมเปญ Mongo Lock หรือการที่แฮ็กเกอร์ค้นหาเซิร์ฟเวอร์ MongoDB ที่ไม่มีมาตรการป้องกันการเข้าถึงจากภายนอก โดยใช้แพลตฟอร์มอย่าง Shodan.io หรือสแกนหาเป้าหมายผ่านอินเทอร์เน็ต จากนั้นก็เข้าไปลบ Database พร้อมกับทิ้งข้อความเรียกค่าไถ่นั่นเอง

Credit: MongoDB

หลักการง่ายมากคือแฮ็กเกอร์ใช้แพลตฟอร์มการค้นหาที่มีประสิทธิภาพสูงอย่าง Shodan.io หรือการสแกนผ่านอินเทอร์เน็ตเพื่อค้นหาเซิร์ฟเวอร์ MongoDB จากนั้นเข้าไป Export ฐานข้อมูลออกมาก่อนและลบฐานข้อมูล พร้อมกับทิ้งข้อความเรียกค่าไถ่ไว้ในไฟล์ Readme ภายใต้โฟลเดอร์ Warning นอกจากนี้มีการโจมตีเกิดขึ้นหลายครั้งซึ่งข้อความเรียกค่าไถ่มีหลายรูปแบบ เช่น ทิ้ง Bitcoin address หรือที่อยู่อีเมล โดยบ้างก็อ้างว่า Database ถูกนำออกมาแล้ว ถ้าจ่ายเงินค่าไถ่จะได้คืนหรือบางครั้งก็บอกว่า Database ถูกเข้ารหัสไว้เป็นต้น

อย่างไรก็ตามดูเหมือนว่า Script ของคนร้ายบางครั้งก็ไม่สามารถทำงานได้สมบูรณ์เพราะเกิดความผิดพลาดบางอย่าง สาเหตุที่แคมเปญการโจมตีนี้เกิดขึ้นเพราะฐานข้อมูล MongoDB สามารถเข้าถึงได้จากทางไกลและไม่ได้รับการปกป้องที่ดีพอ แต่การป้องกันนั้นก็ทำได้ไม่ยากเลยเพราะทาง MongoDB ได้ให้แนะนำไว้อย่างดีสามารถติดตามได้ที่นี่ ดังนั้นอย่าลืมป้องกันไว้ก่อนดีกว่ารอเกิดเหตุค่อยแก้ทีหลังครับ

ที่มา : https://www.bleepingcomputer.com/news/security/mongo-lock-attack-ransoming-deleted-mongodb-databases/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Palo Alto Networks พบ Mirai พร้อมความสามารถใหม่เล็ง IoT ในภาคธุรกิจ

ทีม Unit 42 ของ Palo Alto Networks ได้ตรวจพบ Mirai หรือ Botnet อันลือชื่อที่ถูกเพิ่มความสามารถในการใช้ช่องโหว่ใหม่อีก 11 รายการซึ่งเล็งไปที่อุปกรณ์ IoT …

PuTTY ออกรุ่น 0.71 เน้นอุดช่องโหว่ด้าน Security เป็นหลัก ควรอัปเดตทันที

ทีมพัฒนา PuTTY เครื่องมือ SSH และ Telnet ยอดนิยมบน Windows ได้ออกอัปเดตรุ่น 0.71 เพื่ออุดช่องโหว่ด้านความมั่นคงปลอดภัยที่ถูกค้นพบในโครงการการสนับสนุน HackerOne โดย EU และแนะนำให้ผู้ใช้งานทำการอัปเดตทันที ซึ่งในอัปเดตรุ่นนี้ได้อุดช่องโหว่ต่างๆ ดังต่อไปนี้