Suchen

Zielt auf schlecht gesicherte Installationen Ransomware verschlüsselt MongoDB-Datenbanken

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Eine neue Ransomware-Welle zielt auf MongoDB NoSQL-Datenbanken. Infiziert werden Installationen, die fehlerhaft konfiguriert wurden oder mit der Standard-Konfiguration betrieben werden.

Firmen zum Thema

Ransomware-Malware zielt aktuell auf schlecht gesicherte oder falsch konfigurierte Installationen von MongoDB.
Ransomware-Malware zielt aktuell auf schlecht gesicherte oder falsch konfigurierte Installationen von MongoDB.
(Bild: MongoDB)

Nach privaten und Unternehmens-PCs haben es Autoren von Erpressersoftware nun auf Installationen der MongoDB-Datenbank abgesehen. Die Angriffe zielen auf schlecht gesicherte oder fehlerhaft konfigurierte Installationen der NoSQL-Lösungen. Nach einer erfolgreichen Attacke verschlüsselt die Ransomware die Datenbank, die Besitzer sollen ein Lösegeld zahlen, andernfalls verschwinden die Informationen für immer. Die Lösegeldsummen schwanken zwischen 0,1 und einem Bitcoin – beim aktuellen Kurs sind das zwischen 85 Euro und 850 Euro.

Die Angriffe sind inzwischen offensichtlich automatisiert und weitreichend: Innerhalb weniger Tage stieg die Anzahl infizierter Installationen von einigen hundert auf 10 000. Inzwischen sind mehr als 99 000 Datenbanken im Fadenkreuz der Angreifer, Tendenz steigend. Experten haben ein Google-Dokument online gestellt, in dem verschiedene Angriffe gesammelt und aufbereitet werden.

Gegenmaßnahmen: Tipps der MongoDB-Entwickler

Die Entwickler von MongoDB haben inzwischen reagiert und einen entsprechenden Blog-Eintrag veröffentlicht. Darin verweisen sie auf verschiedene Praxistipps und Checklisten, mit denen sich MongoDB-Installationen gegen Attacken absichern lassen. Sollten Systeme infiziert sein, bieten sie verschiedene Ansätze, wie sich die Daten vielleicht wiederherstellen lassen. Dies ist allerdings ohne aktuelles Backup nur beschränkt möglich.

Die Attacken zeigen ein gängiges Problem in der IT-Infrastruktur. Die Ransomware setzt nicht auf aktuelle Schwachstellen oder eine Zero-Day-Lücke, sondern nutzt Anwenderfehler oder schlicht nie veränderte Standardkonfigurationen. Die Summen sind scheinbar absichtlich niedrig gewählt, die Opfer sollen lieber Zahlen als etwa höhere Kosten für eine Wiederherstellung ausgeben zu wollen.

Wer eine infizierte Installation von MongoDB besitzt, sollte auf keinen Fall auf die Erpressungsversuche eingehen. Dadurch finanziert man die Hintermänner und sorgt dafür, dass weitere Trittbrettfahrer auf die Angriffswelle aufspringen. Bei Angriffen auf Unternehmen sollten definitiv Experten des jeweiligen Hosters und der Polizei hinzugezogen werden.

(ID:44450317)

Über den Autor

 Moritz Jäger

Moritz Jäger

IT Journalist