일주일동안 27,000개 이상의 MongoDB가 랜섬웨어에 감염돼

일주일동안 27,000개 이상의 MongoDB가 랜섬웨어에 감염돼

Over 27,000 MongoDB Databases Held For Ransom Within A Week

최근 안전하지 않은 MongoDB에 대한 랜섬웨어 공격이 단 하루만에 2배로 치솟았습니다. 

Harak1r1이라는 이름을 사용하는 공격자는 패치되지 않았거나 설정이 잘못된 MongoDB 에 접속하여 DB를 복사하고 삭제한 후, 데이터를 볼모로 관리자들에게 랜섬머니를 요구하고 있습니다. 

이번 사건이 최초로 발견된 것은 지난 월요일로, 보안연구원인 Victor Gevers가 200개의 MongoDB가 삭제되어 볼모로 잡힌 것을 발견했습니다. 그 다음날인 화요일, 해당 공격을 받은 MongoDB는 2000개로 증가하였으며, 금요일에는 10,500개로 급증했습니다.

더욱 심각한 점은 공격자가 요구하는 랜섬머니 역시 함께 증가한다는 것입니다. 

공격자는 초기에는 0.2비트코인(US$184상당)을 요구했으며, 22명의 피해자들이 이를 지불한 것으로 확인되었습니다. 현재 공격자는 랜섬머니로 1비트코인(약 US$906)을 요구하고 있습니다. 

이에 연구원들은 관련 공격에 대해 조사에 착수하고, 각각 다른 공격자 15명을 발견하였습니다. 이 중 Kraken0이라는 이메일을 사용하는 공격자는 총 15,482개의 MongoDB를 해킹한 것으로 밝혀졌습니다. 그는 랜섬머니로 1비트코인을 요구하고 있습니다. 다행히 아직까지 랜섬머니를 지불한 사람은 없는 것으로 확인되었습니다. 

이번 공격의 원인은 MongoDB의 잘못된 설정 때문인 것으로 밝혀졌습니다. 공격을 당한 MongoDB를 확인해본 결과, 모두 서버의 관리자 계정의 패스워드가 없는 상태로 설정되어 있었습니다. Shodan 검색엔진을 사용하면 취약한 MongoDB들을 검색할 수 있습니다. 현재 검색결과에는 약 99,000개 이상의 취약한 MongoDB가 보여지고 있습니다. 

공격 예방법

1) MongoDB 설정파일에서 auth값을 true로 변경하기

2) 27107포트로의 접근을 차단하거나, 접근제한을 위한 로컬 주소들만 접근 허용하도록 설정하기

3) MongoDB 소프트웨어를 최신 버전으로 업데이트하기

출처 : 

http://thehackernews.com/2017/01/mongodb-database-security.html