Новая кампания Mongo Lock удаляет базы данных MongoDB, требуя выкуп

Олег Иванов 12 Сентября 2018 - 13:37

Домашние пользователи

Атаки на сайты

Уязвимости сайтов

Целевые атаки

Таргетированные атаки

...

Новая кампания Mongo Lock удаляет базы данных MongoDB, требуя выкуп

В ходе вредоносной кампании под названием Mongo Lock злоумышленники атакуют доступные удаленно и незащищенные базы данных MongoDB. Затем киберпреступники уничтожают данные и требуют выкуп за их возврат.

Это далеко не новая схема атаки, злоумышленники уже давно атакуют базы данных MongoDB. В начальной фазе атакующие ищут незащищенные серверы, используя сервисы вроде Shodan.io. После удачного подключения они могут экспортировать базы данных, удалить их, а затем оставить записку с требованиями выкупа.

Компанию Mongo Lock обнаружил известный исследователь в области кибербезопасности Боб Дьяченко. На месте удаленной базы данных злоумышленники в этом случае оставляют новую базу под именем «Warning», внутри которой находится «Readme».

В «Readme» злоумышленники объясняют, что база данных зашифрована, и жертвам необходимо заплатить выкуп, чтобы вернуть ее. Они не оставляют никаких адресов для транзакций, а просят жертв связаться с ними с помощью электронной почты.

Несмотря на то, что в записке утверждается, что атакующие экспортируют базу перед ее удалением, неизвестно, правда ли это. Вполне может статься, что это просто блеф, и никакую базу вам не вернут, так как она безвозвратно удалена.

Эксперту удалось узнать адрес, на который пострадавшие пользователи выплачивают выкуп вымогателям — 3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH. В общей сложности на этот кошелек упало 1,8 биткоинов — чуть более 11 000 долларов США по текущему курсу.

По словам Дьяченко, киберпреступники используют скрипт для автоматизации процесса получения доступа к базам данных MongoDB. Однако специалисту удалось обнаружить, что этот скрипт не всегда отрабатывает так, как положено. В некоторых случаях у пользователей все еще был доступ к своим базам, хотя записка о выкупе тоже присутствовала.

Кстати, именно небезопасно настроенный сервер MongoDB послужил причиной утечки около 445 миллионов записей, принадлежащих клиентам швейцарской компании Veeam.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Сентября 2025 - 11:28

Мошенничество Онлайн-мошенничество Домашние пользователи Корпорации F6

Мошенники используют благотворительные фонды для обмана инвесторов

Компания F6 сообщила о новой схеме инвестиционного мошенничества. Теперь злоумышленники используют имена благотворительных фондов, чтобы втереться в доверие к жертвам. Людей уговаривают сделать «первый взнос» не на счёт мошенников, а на реквизиты реальных фондов.

Так, только в «Русфонд» с февраля по август 2025 года поступили переводы как минимум от 356 человек на сумму свыше 4,6 млн рублей. Деньги потом пришлось возвращать пострадавшим.

Как это работает. Сначала жертву привлекают рекламой «выгодных инвестиций» или фейковых социальных программ вроде «ГосБонуса». После заполнения анкеты на поддельном сайте звонят «сотрудники кол-центра», представляясь работниками банковских проектов. Они уверяют, что выплаты проходят через благотворительные фонды, и просят перевести туда деньги «для активации счёта».

На этом этапе используются настоящие реквизиты фондов, что укрепляет доверие к схеме. Затем мошенники показывают жертве поддельный «инвестиционный график», где сумма якобы растёт. После этого сценарий становится классическим: предложения «вывести прибыль», требования оплатить комиссии и сборы, а затем — попытка получить полный доступ к банковским данным жертвы через фишинговые сайты.

Специалисты подчёркивают: схема опасна не только для людей, но и для самих фондов. Репутация благотворительных организаций может пострадать, а их сотрудники вынуждены тратить время на возврат чужих переводов. В результате страдают и те, ради кого эти организации работают.

Подобные приёмы мошенники уже начали применять и в отношении других фондов. В Санкт-Петербурге, например, фонд сообщил о звонках с предложением «инвестировать» через его реквизиты.

Эксперты отмечают, что сегодня преступники всё чаще делают ставку не на быстрый заработок, а на долгую «обработку» жертвы. Их цель — получить полный доступ к счетам и украсть суммы в сотни тысяч или миллионы рублей.

Кроме того, злоумышленники проверяют банковские карты жертв с помощью мелких переводов на фонды — например, по 20 рублей. Такие тестовые операции позволяют понять, действует ли карта и есть ли на ней деньги.

Новая кампания Mongo Lock удаляет базы данных MongoDB, требуя выкуп

Читайте также