上周末MongoDB数据库遭遇勒索攻击，三个黑客团伙劫持了2.6万余台服务器，其中一个团伙劫持2.2万台服务器。

这些黑客组织成员在互联网上扫描开放外部连接的MongoDB数据库，清除并用勒索程序替换了数据库中的数据。

这些暴露的数据库中大多数为测试系统，但其中一部分包含重要生产数据，因此仍有一些公司最终支付了赎金。但与此前的勒索攻击不同的是，这一次用户支付了赎金并没有换回相应的数据，黑客根本就没有掌握他们的数据，用户只是被戏耍了一番。

发现此次攻击的安全研究人员狄伦·卡茨和维克多·赫韦尔斯称，这一系列攻击是“MongoDB启示录”（MongoDB Apocalypse，自2016 年12月至2017年上半年）的延续。

今年1月，MongoDB数据库再遭入侵，攻击者索要赎金以返还数据。黑客近几年一直觊觎MongoDB数据库：

2015年12月，超过650TB的MongoDB数据因脆弱的数据库被暴露在互联网上。

2015年12月，错误配置的MongoDB数据库暴露了1.91亿条美国选民的记录。

2016年4月，132GB的MongoDB数据库暴露在网上，其中包含9340万墨西哥选民记录。

除MongoDB多个数据库未能幸免

研究人员借助Google Docs电子表格追踪攻击后发现，攻击分子总计攻破了4.5万个以上数据库，实际可能更多。

除了MongoDB，其它服务器也遭遇过勒索攻击，例如ElasticSearch、Hadoop、CouchDB、Cassandra, 和 MySQL服务器。

今年春夏季，掀起这类攻击风暴的黑客组织突然销声匿迹，被勒索的服务器数量也随之下降。

三个黑客组织暴露

上周，三支新黑客组织浮出水面，安全专家通过勒索信中使用的电子邮箱识别了黑客。

攻击数量减少质量增加

赫韦尔斯是一名经验老道的安全专家，他表示与今年年初相比，攻击者的数量虽然减少，但每起攻击给受害者带来的破坏性影响却呈上升趋势，危害更大。

在第一波MongoDB攻击中，攻击者仅用约一个月时间就攻破4.5万个数据库。Cru3lty黑客组织仅上周攻破的数据库就占其中一半。

同一天用户遭到两次攻击

赫韦尔斯发现一些特殊案例：Cru3lty黑客组织劫持了用户的数据库，用户通过备份恢复了数据库之后，在同一天又遭遇了另一次勒索攻击。

原因在于受害者未妥善保护自己的数据库。赫韦尔斯表示，信息不全尚无法解开整个谜底。是因为用户是缺乏知识？是搞混了MongoDB安全设置，而自己却不知情？还是因为在运行老旧的版本系统，而缺乏安全的默认设置或存在其它漏洞？具体原因不得而知。

安全研究人员忙得不可开交

赫韦尔斯表示，身为GDI基金会的主席。他还必须引进外部专家协助分析这起大规模的MongoDB劫持攻击。毕竟光是手头的工作就已应接不暇，例如要忙着寻找并报告其它类型的漏洞设备，例如加密货币“采矿机”、Arris调制调解器或物联网设备。

GDI基金会是一个致力于保护网络信息安全的非营利性组织，这一年来赫韦尔斯一直忙于保护各类设备安全，包括AWS S3云服务平台、Jenkins实例、“永恒之蓝”感染的电脑、包含敏感凭证的GitHub库等。

GDI基金会2017年成果见下图：