Zielt auf schlecht gesicherte Installationen

Ransomware verschlüsselt MongoDB-Datenbanken

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Ransomware-Malware zielt aktuell auf schlecht gesicherte oder falsch konfigurierte Installationen von MongoDB.
Ransomware-Malware zielt aktuell auf schlecht gesicherte oder falsch konfigurierte Installationen von MongoDB. (Bild: MongoDB)

Eine neue Ransomware-Welle zielt auf MongoDB NoSQL-Datenbanken. Infiziert werden Installationen, die fehlerhaft konfiguriert wurden oder mit der Standard-Konfiguration betrieben werden.

Nach privaten und Unternehmens-PCs haben es Autoren von Erpressersoftware nun auf Installationen der MongoDB-Datenbank abgesehen. Die Angriffe zielen auf schlecht gesicherte oder fehlerhaft konfigurierte Installationen der NoSQL-Lösungen. Nach einer erfolgreichen Attacke verschlüsselt die Ransomware die Datenbank, die Besitzer sollen ein Lösegeld zahlen, andernfalls verschwinden die Informationen für immer. Die Lösegeldsummen schwanken zwischen 0,1 und einem Bitcoin – beim aktuellen Kurs sind das zwischen 85 Euro und 850 Euro.

Die Angriffe sind inzwischen offensichtlich automatisiert und weitreichend: Innerhalb weniger Tage stieg die Anzahl infizierter Installationen von einigen hundert auf 10 000. Inzwischen sind mehr als 99 000 Datenbanken im Fadenkreuz der Angreifer, Tendenz steigend. Experten haben ein Google-Dokument online gestellt, in dem verschiedene Angriffe gesammelt und aufbereitet werden.

Gegenmaßnahmen: Tipps der MongoDB-Entwickler

Die Entwickler von MongoDB haben inzwischen reagiert und einen entsprechenden Blog-Eintrag veröffentlicht. Darin verweisen sie auf verschiedene Praxistipps und Checklisten, mit denen sich MongoDB-Installationen gegen Attacken absichern lassen. Sollten Systeme infiziert sein, bieten sie verschiedene Ansätze, wie sich die Daten vielleicht wiederherstellen lassen. Dies ist allerdings ohne aktuelles Backup nur beschränkt möglich.

Die Attacken zeigen ein gängiges Problem in der IT-Infrastruktur. Die Ransomware setzt nicht auf aktuelle Schwachstellen oder eine Zero-Day-Lücke, sondern nutzt Anwenderfehler oder schlicht nie veränderte Standardkonfigurationen. Die Summen sind scheinbar absichtlich niedrig gewählt, die Opfer sollen lieber Zahlen als etwa höhere Kosten für eine Wiederherstellung ausgeben zu wollen.

Wer eine infizierte Installation von MongoDB besitzt, sollte auf keinen Fall auf die Erpressungsversuche eingehen. Dadurch finanziert man die Hintermänner und sorgt dafür, dass weitere Trittbrettfahrer auf die Angriffswelle aufspringen. Bei Angriffen auf Unternehmen sollten definitiv Experten des jeweiligen Hosters und der Polizei hinzugezogen werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44450317 / Sicherheitslücken)