金銭目的のハッカーにとって、保護されていないMongoDBインスタンスは依然として格好の標的であり、現在1,400台以上のサーバーに侵害の兆候が見られると、脅威管理企業Flareが報告している。
MongoDBデータベースの荒らし行為はおよそ10年前に流行した傾向で、2017年初頭に詳述された大規模キャンペーンでは、33,000以上のインスタンスが乗っ取られた。
データベース所有者がインターネットからアクセス可能なMongoDBインスタンスを適切に保護しなかったため、ハッカーはそれらにアクセスし、内容を消去し、消去した内容と引き換えに支払いを要求する身代金要求メモを残した。
現在、Flareによると、公開状態で発見可能なMongoDBサーバーは200,000台以上あり、そのうち100,000台以上が運用情報を開示しているという。
憂慮すべきことに、3,100のデータベースが適切な制限なしにインターネットに公開されており、誰でもアクセスできる状態になっている。
これらのうち1,416インスタンス(45.6%)が侵害され、内容が身代金要求メモに置き換えられており、通常はビットコインで500ドルの身代金支払いを要求しているとFlareは述べている。
これらのケースの98%では、身代金要求メモに同じビットコインアドレスが記載されており、MongoDBの荒らし行為が同一の脅威アクターによって実行されたことを強く示唆している。
残りの1,684台(54.4%)のサーバーには感染の兆候が見られず、Flareは、少なくとも一部の所有者が身代金を支払った可能性があると考えている。
「これは、このキャンペーンによる脅威アクターの収益が、0米ドル(残りのサーバーがすべてテスト環境で、単にオフラインにされたと仮定した場合)から、最大842,000ドルに達する可能性があることを示唆している」とFlareは指摘している。
現時点では、脅威アクターのビットコインウォレットは見たところ約400ドルしか受け取っておらず、荒らし行為がハッカーにとってそれほど利益にならなかった可能性を示している。
Flareの調査では、特定されたサーバーのうち95,000台以上(46.3%)に少なくとも1つの脆弱性があることも明らかになった。欠陥の大半はサービス拒否(DoS)状態を引き起こす可能性がある。
「我々のケースでは、本当に問題となる資産は、適切なアクセス制御なしに公開されていた約3,100のMongoDBインスタンスだけだ」とFlareは述べている。
翻訳元: https://www.securityweek.com/over-1400-mongodb-databases-ransacked-by-threat-actor/
