Schlecht gesicherte MongoDB-Datenbanken erneut im Visier von Ransomware

Nach Erkenntnissen eines Sicherheitsforschers ist der Inhalt von knapp 23.000 öffentlich zugänglichen MongoDB-Installationen von Erpressern "gestohlen" worden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 8 Beiträge

(Bild: M.Moira / Shutterstock.com)

Von

Analysen des Sicherheitsforschers Victor Gevers zufolge sollen im Zuge aktueller Ransomware-Angriffe rund 22.900 MongoDB-Installationen gekapert worden sein. Die betreffenden NoSQL-Datenbanken waren offenbar ohne Eingabe von Zugangsdaten über das Internet erreichbar und wurden von den Angreifern durch automatisierte Scans aufgespürt.

Wie Gevers gegenüber ZDNet erläuterte, wurden die Datenbankinhalte im Zuge einer erfolgreichen Infektion nicht etwa verschlüsselt, sondern kopiert und anschließend vollständig von den attackierten Servern gelöscht. Zurück blieb jeweils eine Lösegeldforderung in Höhe von 0.015 Bitcoin (umgerechnet etwa 123 Euro).

In einer englischsprachigen Lösegeldforderung mit dem Titel READ_ME_TO_RECOVER_YOUR_DATA versichern die Angreifer, ein Backup der Daten erstellt zu haben. Sie setzen ihren Opfern eine Zahlungsfrist von 48 Stunden und drohen bei Nichtzahlung damit, die Nachlässigkeit des Datenbankbetreibers an die zuständigen Datenschutzbehörden zu melden:

"In case of refusal to pay, we will contact the General Data Protection Regulation (GDPR) and notify them that you store user data in an open form and is not safe".

Die von Gevers beobachteten Erpressungsversuche sind kein neues Phänomen: Der Forscher betrachtet sie laut ZDNet nur als weitere Phase einer Angriffswelle, die bei immer ähnlicher gleicher Vorgehensweise bereits 2016 ihren Anfang nahm und sich bis in die zweite Jahreshälfte von 2017 fortsetzte. Auch damals bewegten sich die geforderten Beträge meist im dreistelligen Bereich. Neu ist der Einschüchterungsversuch mit der GDPR beziehungsweise DSGVO.

Zu möglichen Drahtziehern hinter den aktuellen Angriffen äußerte sich Gevers gegenüber ZDNet nicht – 2017 hatte er allerdings die Beteiligung von mindestens 12 professionellen Erpressergruppen dokumentiert. Somit ist es gut möglich, dass auch im aktuellen Fall wieder mehrere voneinander unabhängige Akteure am Werk sind und dass letztlich auch Details der Lösegeldforderungen variieren können.

Die Problematik schlecht (oder gar nicht) abgesicherter MongoDB-Installationen ist seit Jahren bekannt. Bereits 2015 stolperten Studenten quasi zufällig über rund 40.000 offene MongoDB-Firmendatenbanken. In Ihrer Dokumentation des Problems appellierten sie damals an Distributoren und den Datenbank-Hersteller, auf die Notwendigkeit zusätzlicher Schutzmaßnahmen hinzuweisen und diese möglichst schon in der Standardinstallation zu verankern.

Zum damaligen Zeitpunkt fehlten Sicherheits- und insbesondere Authentifizierungsmechanismen bei MongoDB-Standardinstallationen. Aktuelle Versionen der NoSQL-Datenbank sind per Default wesentlich besser abgesichert. Dennoch bleiben unsichere Konfigurationen und die Verwendung alter Versionen offenbar ein weit verbreitetes Phänomen, das Cybergangster immer wieder zu Angriffen herausfordert.

Admins sollten angesichts der anhaltenden Gefahren spätestens jetzt auf eine aktuelle MongoDB-Version umsteigen. Hinweise zur sicheren Konfiguration bietet unter anderem der Security-Abschnitt im MongoDB-Manual.

(ovw)