포스팅 내용

국내외 보안동향

MongoDB 데이터를 유출 후 GDPR 위반으로 신고하겠다는 랜섬 협박 급증

Surge of MongoDB ransom attacks use GDPR as extortion leverage


안전하지 않은 MongoDB 서버의 데이터베이스를 삭제하는 대규모 공격이 발생하고 있는 것으로 나타났습니다. 


피해자는 랜섬머니를 지불하지 않으면 데이터를 유출시킨 후 GDPR 위반으로 신고한다는 협박을 받고 있었습니다.


비영리 단체인 GDI Foundation의 Victor Gevers은 공격자들이 인터넷에서 보호되지 않은 MongoDB 서버를 찾고 있는 것을 발견했습니다.


공격자는 서버에 접근하는데 성공한 후 데이터베이스를 삭제하고 "READ_ME_TO_RECOVER_YOUR_DATA"라는 새로운 데이터베이스를 생성합니다.

 


<삭제된 MongoDB 데이터베이스의 랜섬노트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/surge-of-mongodb-ransom-attacks-use-gdpr-as-extortion-leverage/>



이 데이터베이스에는 데이터가 “백업”되었으며 피해자는 데이터 복구를 위해 0.015 BTC ($135.55 상당)을 지불해야 한다는 내용을 담은 'README' 랜섬노트가 저장되어 있었습니다.


랜섬노트의 내용은 아래와 같습니다.


"All your data is a backed up. You must pay 0.015 BTC to 13JwJDaU3xdNFfcSySFCy95E2Tko18fiyB 48 hours for recover it. After 48 hours expiration we will leaked and exposed all your data. In case of refusal to pay, we will contact the General Data Protection Regulation, GDPR and notify them that you store user data in an open form and is not safe. Under the rules of the law, you face a heavy fine or arrest and your base dump will be dropped from our server! You can buy bitcoin here, does not take much time to buy https://localbitcoins.com with this guide https://localbitcoins.com/guides/how-to-buy-bitcoins After paying write to me in the mail with your DB IP: restore_base@tuta.io"



Gevers는 Shodan과 BinaryEdge 검색엔진에서 취약한 MongoDB를 검색한 결과 각각 1,500건, 2,300건을 발견했다고 밝혔습니다.


BleepingComputer가 Shodan에서 MongoDB를 검색해본 결과 수많은 데이터베이스가 이미 이 랜섬 공격에 피해를 입은 것을 확인했습니다.



<Shodan에서 발견한 랜섬 공격을 받은 MongoDB 서버>

<이미지 출처: https://www.bleepingcomputer.com/news/security/surge-of-mongodb-ransom-attacks-use-gdpr-as-extortion-leverage/>



GDPR 위반으로 신고하겠다고 협박해


보안이 허술한 데이터베이스를 공격하는 전략은 흔한 편입니다. 과거에도 MongoDB와 ElasticSearch는 대규모 공격의 대상이 되어 왔습니다.


이 공격의 특이한 점은 돈을 지불하지 않을 경우 데이터를 유출한 후 GDPR 위반으로 피해자를 신고한다고 협박한다는 것입니다.


랜섬노트는 아래와 같은 메시지를 포함하고 있었습니다.


“48시간이 지나면 귀하의 모든 데이터를 공개할 것입니다. 돈을 지불하지 않을 경우 GDPR에 연락을 취해 귀하의 데이터가 노출되어 있으며 안전하게 보호된 상태가 아니라고 신고할 것입니다. 해당 법에 따라 귀하는 무거운 벌금형에 처하거나 구속될 수 있으며, 당신의 베이스 덤프는 우리의 서버에서 드롭될 것입니다.”


Gevers는 랜섬머니가 $135.55로 비교적 적은 금액이며 GDPR에 신고 당할 수 있다는 걱정으로 많은 사람들이 돈을 지불할 것으로 예상했습니다. 


또한 피해자가 돈을 지불할 경우 공격자는 해당 데이터가 중요한 데이터라고 판단해 더욱 많은 돈을 뜯어낼 수 있다고 덧붙였습니다.


“돈을 지불할 경우, 피해자는 데이터를 돌려받고 GDPR 관련 분쟁이 생기지 않기를 바란다는 것을 의미합니다. 또한 추가적인 협박이 있을 경우 더 많은 돈을 지불할 의향이 있다는 뜻이기도 합니다. 사람들은 귀중한 데이터에 돈을 지불합니다. 이러한 방식으로 공격자는 데이터의 중요성을 판단할 수 있게 될 것으로 보입니다.”


Gevers는 데이터가 삭제되기 전 다른 곳에 백업 되지 않았을 것으로 추측했습니다.


이 랜섬 공격은 아직까지 분석 중이지만 돈을 지불하더라도 데이터를 돌려받을 수 있는 가능성이 매우 낮기 때문에 돈을 지불하지 말 것을 권장합니다.





출처:

https://www.bleepingcomputer.com/news/security/surge-of-mongodb-ransom-attacks-use-gdpr-as-extortion-leverage/

티스토리 방명록 작성
name password homepage