Abo
  • Services:
Anzeige
MongoDB-Tabelle mit Lösegeldforderung
MongoDB-Tabelle mit Lösegeldforderung (Bild: Victor Gevers)

MongoDB: Hacker kapern über 1.800 Datenbanken und fordern Lösegeld

MongoDB-Tabelle mit Lösegeldforderung
MongoDB-Tabelle mit Lösegeldforderung (Bild: Victor Gevers)

Ein Unbekannter ist offenbar in Tausende unsichere MongoDB-Server eingedrungen und hat die dort vorgefundenen Datenbanken kopiert. Anschließend überschrieb er die Daten mit einer Lösegeldforderung. Die ersten Nachahmer sind bereits aktiv.

Die Angriffe begannen bereits vor über einer Woche, schreibt Victor Gevers, der die Masche eher zufällig auf der Suche nach angreifbaren Datenbankservern entdeckt hat. Meistens war der Zugriff auf die Datenbanken simpel: Sie waren offen über das Internet erreichbar, es fehlte schlicht ein Passwortschutz.

Anzeige

Für die Rückgabe der Daten forderte der ursprüngliche Hacker 0,2 Bitcoin, also rund 211 Euro. Gevers berichtet inzwischen jedoch von ersten Nachahmern, die 0,5 Bitcoin, also über 500 Euro fordern.

Datenbanken einfach kopiert

Das Vorgehen ist stets identisch: Der Eindringling verschafft sich Zugang zu einem ungeschützten MongoDB-Server, exportiert die vorhandenen Datenbanken und ersetzt sie mit einer einzigen Tabelle namens "WARNING". Diese Ransom-Tabelle enthält neben einer E-Mail-Adresse auch eine Aufforderung nach dem Schema "Sende 0,2 BTC an diese Bitcoin-Adresse und kontaktiere die E-Mail-Adresse mit der IP deines Servers, um deine Datenbank wiederzubekommen."

"Ich konnte das recht leicht bestätigen, weil die Logfiles eindeutig zeigten, dass das Datum des letzten Exports vor dem Erstellungsdatum der neuen Datenbank mit dem Tabellennamen WARNING lag", sagte Gevers Bleeping Computer. "Jeder Schritt auf dem Datenbankserver wurde geloggt."

GDI Foundation bietet Hilfe an

Gevers ist Sicherheitsexperte bei der niederländischen Regierung, verbringt seine Freizeit aber als Gründer der gemeinnützigen GDI-Foundation mit dem Finden und Schließen von Sicherheitslücken im Netz. GDI bietet betroffenen Organisationen Hilfe bei der Absicherung ihrer Datenbankserver.

Viele Organisationen, die eigene Server betrieben, wüssten nicht, wie sie diese korrekt absichern könnten. Einige der Betroffenen verfügten laut Gevers über Backups ihrer Daten und konnten diese so leicht wiederherstellen. Viele hätten aber vor allem wegen der für Ransomware-Standards eher moderaten Lösegeldforderung einfach bezahlt.

Angreifbare Hosting-Pakete für AWS

"Jeder verdient es, gewarnt zu werden", schreibt Gevers auf Twitter als Antwort auf den Vorwurf, die Betroffenen seien einfach naiv und selbst schuld. "Ich habe Jahre damit verbracht, angreifbare Systeme zu finden und diese ihren Betreibern verantwortungsvoll zu melden", ergänzt er in einem Interview.

Schuld seien vor allem alte MongoDB-Installationen auf Cloud-Hosting-Diensten. "Die meisten offenen und angreifbaren MongoDBs findet man auf [Amazons] AWS-Plattform", denn dafür gebe es oft fertige Images, die anschließend nicht mehr aktualisiert würden. "Rund 78 Prozent dieser Installationen liefen mit als angreifbar bekannten Versionen."

MongoDB Inc., das Unternehmen hinter MongoDB, empfiehlt zwar, die Serversoftware stets aktuell zu halten und stellt eine Sicherheitscheckliste zur Verfügung. Viele Admins halten sich aber offenbar nicht daran.

Laut der IoT-Suchmaschine Shodan waren bis zum 3. Januar insgesamt 1.853 MongoDB-Server von dem Angriff betroffen, teilte der Shodan-Gründer John Matherly auf Twitter mit. Damit landete der Datenbankname "WARNING" in der Suchmaschine auf Platz 4 nach "local", "admin" und "test".


eye home zur Startseite
Gandalf2210 06. Jan 2017

Muhaha, ich bin ja so ein krasser hacker-hacker. Und reife Frauen ab 60 findet der auch...

matzems 06. Jan 2017

Bin ganz deiner Meinung, wenn man mit Datenbanken hantiert die von Internet aus...

der_wahre_hannes 06. Jan 2017

Äh... und wie soll das Management die "richtigen Leute" erkennen? Kannst du denn...

Snooozel 05. Jan 2017

Es gibt halt immer noch zuviele Leute die meinen auf ein Backup kann man verzichten, ist...

JTR 05. Jan 2017

In so einer Welt von marodierenden Investment Banker, despotischen Politiker und...



Anzeige

Stellenmarkt
  1. Schaeffler Automotive Aftermarket GmbH & Co. KG, Langen
  2. Hannoversche Lebensversicherung AG über ACADEMIC WORK, Hannover, Vahrenholst-List
  3. Robert Bosch GmbH, Abstatt
  4. über JobLeads GmbH, Frankfurt am Main


Anzeige
Spiele-Angebote
  1. (-10%) 17,99€
  2. 5,99€
  3. 42,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. SAP HANA Integration von der Planung bis zum Hosting
  2. Leitfaden für den gezielten Einsatz von SAP HANA
  3. Wissens-Guide und Kaufberatung für Cloud-Sicherheit


  1. Netzausrüster

    Nokia macht weiter hohen Verlust

  2. Alien Covenant In Utero

    Neomorph im VR-Brustkasten

  3. Smarter Lautsprecher

    Google Home assistiert beim Kochen

  4. id Software

    "Global Illumination ist derzeit die größte Herausforderung"

  5. Echo Look

    Amazon stellt erste Kamera mit Alexa vor

  6. e.GO Life

    Elektroauto aus Deutschland für 15.900 Euro

  7. Apple

    App schaltet Touch Bar des Macbook Pro ab

  8. Deutscher Computerspielpreis

    Portal Knights ist das "Beste Deutsche Spiel" 2017

  9. Sledgehammer Games

    Call of Duty WW2 und die Befreiung von Europa

  10. Elektroauto

    VW testet E-Trucks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielebranche: "Ungefähr jetzt ist der Prinzessin-Leia-Moment"
Spielebranche
"Ungefähr jetzt ist der Prinzessin-Leia-Moment"
  1. Let's Player Auf Youtube verkauft auch die Trashnight Spiele
  2. In eigener Sache Doom auf dem Tech Summit
  3. Nvidia "Geometry Pass spart in VR massiv Rechenleistung"

DLR-Projekt Eden ISS: Das Paradies ist ein Container
DLR-Projekt Eden ISS
Das Paradies ist ein Container
  1. Weltraumschrott "Der neue Aspekt sind die Megakonstellationen"
  2. Transport Der Güterzug der Zukunft ist ein schneller Roboter
  3. "Die Astronautin" Ich habe heute leider keinen Flug ins All für dich

Radeon RX 580 und RX 570 im Test: AMDs Grafikkarten sind schneller und sparsamer
Radeon RX 580 und RX 570 im Test
AMDs Grafikkarten sind schneller und sparsamer
  1. Grafikkarte Manche Radeon RX 400 lassen sich zu Radeon RX 500 flashen
  2. Radeon Pro Duo AMD bringt Profi-Grafikkarte mit zwei Polaris-Chips
  3. Grafikkarten AMD bringt vier neue alte Radeons für Komplett-PCs

  1. Re: sabber ...

    MonkeyKing | 11:13

  2. Re: 4.9 Sekunden von 0 auf ..... achso... oh...

    azeu | 11:13

  3. Re: Weis nicht...

    Niaxa | 11:12

  4. Re: Nur 3x gekotzt

    M.P. | 11:12

  5. Re: Besser wäre ne 10% Blockbusterquote für...

    u just got pwnd | 11:11


  1. 11:10

  2. 10:54

  3. 09:52

  4. 09:00

  5. 08:50

  6. 07:37

  7. 07:12

  8. 23:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel