Новая волна атак на сервера с СУБД MongoDB была обнаружена специалистом в сфере информационной безопасности Виктором Геверсом. На данный момент выявлено около двух тысяч пораженных систем.
Атакам были подвержены конфигурации MongoDB, открытые для сетевых соединений извне и не защищенные паролем. Большое количество незапароленных систем связано с тем, что до версии 3.0 в MongoDB по дефолту предлагались настройки, разрешающие сетевые подключения без аутентификации. Такая конфигурация сохранялась даже при обновлении с предыдущей версии на актуальную. Например, в ходе поиска пораженных систем Геверсом была обнаружена открытая база данных сотового оператора с более чем 853 миллиардами записей с данными о звонках абонентов.
На пораженных вымогателем серверах удалена вся информация, а также добавлена таблица “WARNING_ALERT” с требованием выплатить злоумышленникам 0,2 или 0,5 биткоинов за восстановление. При этом на самом деле информация не шифровалась вымогателем, а просто удалялась — лишь в нескольких случаях в логах серверов были обнаружены следы экспорта информации, остальные данные удалены безвозвратно. По этой причине эксперты настоятельно не рекомендуют подчиняться требованиям злоумышленников, так как скорее всего даже после оплаты жертвы не смогут восстановить информацию.