مهاجمان پس از حمله به پایگاههای دادهی MongoDB و Elasticsearch، هم اکنون در پی حمله به سیستمهای جدید ذخیرهسازیِ پایگاه داده مانند Hadoop میباشند.
گروههای سازندهی باجافزار (Ransomware) پس از اقدام به حذف دادهها در هزاران پایگاهدادهِ MongoDB و کلاسترهای Elasticsearch، سایرِ تکنولوژیهای ذخیرهسازی داده را نیز مورد هدف قرار دادهاند. محققان امنیتی اخیرا حملات مخرب مشابهی را برای ایجاد آسیب در پایگاههای داده CouchDB و Hadoop گزارش کردهاند که در صورت باز بودن دسترسیها بر روی آنها ممکن است مورد هدف قرار گیرند.
برخی از محققان امنیتی فعال در حوزه امنیت، فرآیند مانیتور حملات MongoDB و Elasticsearch را دنبال کردهاند که به تازگی اقدام به یافتن قربانیان جدید حملات ایجاد شده برای Hadoop و CouchDB نمودهاند. آنها اطلاعات مربوط به Signatureهای مختلفِ حملات و پیامهای ارسالی پس از پاک شدن دادهها از پایگاهداده را به صورت مستند در Google Docs کنار هم قرار داده و نگهداری مینمایند.
Hadoop به عنوان یک چهارچوب قدرتمند جهت ذخیرهسازیِ توزیعی و پردازش مجموعههای بزرگی از دادهها مورد استفاده قرار میگیرد. حملاتی را که تا کنون در Hadoop مشاهده شده است میتوان تنها نوعی خرابکاری در نظر گرفت.این حملات از آن رو خرابکاری خوانده میشوند که مهاجمان در ازای بازگرداندن دادههای پاک شده تقاضای پول نمیکنند؛ بلکه به این وسیله ضرورت ایمن ساختنِ پیادهسازیهای آتی را به مدیرانِ Hadoop گوشزد مینمایند.
بر طبق آخرین بررسی Merrigan، تاکنون دادههای 126 مورد از Instanceهای Hadoop پاک شده و تعداد قربانیان نیز احتمالا رو به افزایش خواهد بود، چراکه چندین هزار پیادهسازیِ Hadoop از طریق اینترنت در دسترس میباشند اما اعلام تعداد مواردِ آسیبپذیر در میان آنها دشوار میباشد.
حملات علیه MongoDB و Elasticsearch نیز از الگوی مشابهی تبعیت میکند. تعداد قربانیان MongoDB در عرض چند ساعت از صدها نفر به هزاران و در عرض یک هفته به دهها هزار نفر در حال افزایش است. طبق آخرین بررسیها، تعداد پایگاههای دادهی MongoDB آسیبدیده به بیش از 34000 و تعداد کلاسترهای آسیبدیدهی Elasticsearch به بیش از 4600 مورد رسیده است.
گروهی موسوم به Kraken که مسئولیت بیشتر حملات باجافزاری علیه پایگاههای داده را بر عهده داشته است، تلاش میکند تا Toolkit مربوط به حملات خود را به همراه فهرستی از فرآیندهای نصب آسیبپذیرِ MongoDB و Elasticsearch به قیمت500 دلار به فروش برساند.
تعداد پایگاههای CouchDB با دادههای پاک شدهِ نیز به سرعت در حال افزایش بوده و تاکنون از مرز 400 مورد گذشته است. شایان ذکر است که CouchDB یک پلتفرم پایگاه داده به سبک NoSQL و مشابه MongoDB میباشد.
برخلاف خرابکاریهای انجام شده در Hadoop، حملات CouchDB همراه با پیامهای باجخواهی بوده و مهاجمان در ازای بازگرداندن دادهها تقاضای مبلغی معادل 100 دلار مینمایند. به قربانیان توصیه میشود که از پرداخت مبالغ درخواستی بپرهیزند، چرا که در بسیاری از حملات MongoDB هیچگونه مدرکی دال بر این موضوع وجود ندارد که یک کپی از دادهها پیش از حذف آن توسط مهاجمان تهیه شده باشد.
محققانِ شرکت Fidelis CyberSecurity نیز حملات Hadoop را مورد بررسی قرار داده و مطالبی را با جزئیات بیشتر و توصیههایی در خصوص ایمنسازیِ این نوع پیادهسازیها ارائه نمودهاند.
بعید نیست که حملات مخرب علیه سیستمهای ذخیرهسازی پایگاههای داده آنلاین در آیندهی نزدیک متوقف شوند، زیرا تکنولوژیهای دیگری نیز وجود دارند که هنوز هدف حمله قرار نگرفته و ممکن است به دلیل پیکربندی نادرست توسط کاربران در فضای اینترنت، مورد حمله قرار گیرند.