今天，雷鋒網(wǎng)編輯在刷朋友圈時，看到騰訊安全專家召喚提到：國內已經(jīng)出現(xiàn)多起針對 MongoDB、ElasticSearch 的攻擊勒索案例了。

什么？最近在國外大火的 MongoDB 勒索已經(jīng)到中國了？！對此，雷鋒網(wǎng)馬上與召喚取得聯(lián)系，得知僅國內某安全公司近期就檢測到 4 起針對國內 MongoDB 、ElasticSearch 進行的勒索案例。

不過，受害者絕對不止這些。

無需身份驗證的開放式 MongoDB 數(shù)據(jù)庫正在遭受多個黑客組織的攻擊，被攻破的數(shù)據(jù)庫內容會被加密，受害者必須支付贖金才能找回自己的數(shù)據(jù)。最早發(fā)現(xiàn)的一起案例是由是由 GDI Foundation 的安全研究人員 Victor Gevers 在 2016 年 12 月 27 日發(fā)現(xiàn)。目前，僅在國外，就有至少 5 個不同的黑客組織實施了此類攻擊，控制了上萬個這類數(shù)據(jù)庫。

【Victor Gevers 的推特截圖】

從 2016年 12 月 27 日到現(xiàn)在，Victor Gevers 一直在推特上頻繁通告 MongoDB 數(shù)據(jù)庫遭受勒索的情況。僅在當天，Victor Gevers 就公布了一個網(wǎng)址，可以查詢其中一個勒索信函中收錢地址的比特幣收入情況，下圖為雷鋒網(wǎng)編輯在2017年1月13日點擊鏈接后的查詢情況，可以看到，如果按照上圖中勒索一次需要繳納 0.2 比特幣贖金來計算，光這一個地址就有多人繳納贖金。但是， 1 月 5 日，Victor Gevers 還欣喜地推文表示：沒有人繳納贖金，需要幫助的可以找他。

事態(tài)十分嚴峻，僅在 2017年 1 月 3 日，就發(fā)展到近 2000 起。

期間還爆出過贖金漲價，漲到了 0.5 比特幣。

1月5日，Victor Gevers 公布了一個更加了不得的該類型勒索事件分布圖，前方預警，出現(xiàn)了中國企業(yè)受害者！

隨后，Victor Gevers 又進行了多次發(fā)布，多次出現(xiàn)了中國受害企業(yè)，最夸張的是，在1月8日，中國受害企業(yè)高達 238 家。

雷鋒網(wǎng)獲得了中國受害企業(yè)的一手截圖信息。

雷鋒網(wǎng)注意到，該截圖顯示，贖金為 0.2 比特幣，黑客收信地址已經(jīng)與之前爆料的國外黑客收信地址不一樣了，這是否意味著有可能新一波黑客或黑客組織發(fā)起了這次攻擊？

召喚告訴雷鋒網(wǎng)宅客頻道，從他們獲取的信息來看，幾個受害者手里的黑客郵箱都不太一樣，應該是由不同的黑客發(fā)出。

但是，真的有中國企業(yè)繳納贖金嗎？召喚認為，

常見的就是把數(shù)據(jù)刪了，或者加鎖加密。支付了比特幣后，有良心的會把數(shù)據(jù)備份還給你或者提供解密。如果云上對數(shù)據(jù)有相應的安全災備機制，則無需過于擔心。

此外，攻擊者利用配置存在疏漏的開源MongoDB數(shù)據(jù)庫展開了一系列勒索行為，國內的案例是利用的同樣的漏洞嗎？

一般是通過利用漏洞進行入侵，或者本身就存在配置缺陷。比如，命令執(zhí)行、未授權訪問等。例如，針對 elasticsearch 的勒索攻擊則主要是利用了一個遠程執(zhí)行漏洞。 

為此，安全人士針對此類攻擊提出的主要建議是：注重安全基線的日常檢查，未授權和弱口令以及 xday 漏洞的及時修復，并輔以安全產(chǎn)品配套，白帽子的定期攻防演習進行反向驗證等。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。