MongoDB-Datenbanken: Massenangriff löscht Tausende offene Server

Eine automatisierte Erpressungswelle trifft Tausende ungeschützte MongoDB-Datenbanken im Internet. Angreifer löschen systematisch Daten und fordern Lösegeld – ein altbekanntes Sicherheitsproblem mit neuen, alarmierenden Dimensionen.

Die Attacke offenbart ein anhaltendes, kritisches Sicherheitsversäumnis: Datenbanken werden ohne grundlegende Zugangskontrollen im Internet bereitgestellt und sind damit ein leichtes Ziel für Kriminelle. Untersuchungen des Cybersicherheitsunternehmens Flare zeigen das erschreckende Ausmaß. Die Analysten identifizierten über 3.100 MongoDB-Instanzen, die online ohne jede Authentifizierung erreichbar waren. Von diesen waren bereits rund 1.400 Server – satte 45,6 Prozent – von den Erpressern getroffen. Ihre Daten wurden gelöscht und durch eine Lösegeldforderung ersetzt.

Die Kampagne scheint auf einen einzigen Akteur zurückzugehen. Die Analyse der auf den kompromittierten Servern hinterlassenen Erpressernoten ergab: Zwar wurden fünf verschiedene Bitcoin-Wallets genutzt, aber in etwa 98 Prozent der Fällen tauchte dieselbe eine Adresse auf. Das spricht stark für einen Hauptverantwortlichen hinter der Mehrzahl dieser automatisierten Angriffe.

Die Angriffsmethode: Einfach, brutal, effektiv

Die Mechanik der Erpressungswelle ist erschreckend simpel und kommt ohne ausgeklügelte Malware oder die Ausnutzung von Software-Schwachstellen aus. Angreifer nutzen automatisierte Skripte, die das Internet nach MongoDB-Datenbanken auf dem Standard-Port 27017 absuchen. Wird eine Instanz ohne Passwortschutz gefunden, verbindet sich das Skript automatisch, löscht die Datenbanksammlungen und legt eine neue mit der Erpressernote an.

Viele Unternehmen sind auf automatisierte Angriffe wie diese nicht vorbereitet. Unser kostenloser E‑Book‑Report erklärt praxisnah, welche Basismaßnahmen (Zugangskontrollen, Netzwerkisolation, starke Authentifizierung, regelmäßiges Patchen und getestete Backups) sofort schützen und wie Sie sie mit geringem Budget umsetzen. Der Leitfaden enthält Checklisten und konkrete Beispiele aus dem Mittelstand – ideal für Administratoren und IT‑Verantwortliche, die schnell Lücken schließen wollen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Die Forderung: typischerweise 0,005 Bitcoin (umgerechnet etwa 500 Euro) innerhalb von 48 Stunden auf eine bestimmte Krypto-Wallet. Im Gegenzug versprechen die Angreifer die Wiederherstellung der Daten. Sicherheitsexperten warnen jedoch: Es gibt keinerlei Garantie, dass die Daten überhaupt gesichert wurden oder nach Zahlung zurückkommen. Für Opfer ohne eigene Backups bedeutet das den unwiderruflichen Verlust ihrer Daten.

Dieser Angriffsstil ist nicht neu. Er erinnert an ähnliche, groß angelegte MongoDB-Erpressungskampagnen, die bis 2021 weit verbreitet waren und Tausende Datenbanken trafen. Die neuesten Erkenntnisse bestätigen, dass diese Art von Angriffen nie verschwunden ist. Sie operieren weiter im Verborgenen und machen sich grundlegende Sicherheitsfehlkonfigurationen zunutze.

Ein Dauerproblem: Fehlkonfiguration als Einladung

Diese Welle ist eine erneute, deutliche Warnung vor den Gefahren falsch konfigurierter Datenbanken. Die Angriffe nutzen keinen Fehler in der MongoDB-Software selbst aus, sondern das Versäumnis der Administratoren, grundlegende Sicherheitsmaßnahmen umzusetzen – nämlich eine Authentifizierung einzurichten. Wird MongoDB ohne Benutzername und Passwort bereitgestellt, ist es für jeden im Internet offen, der es findet.

Dieses langjährige Problem ist ein wiederkehrendes Thema in der Datensicherheit. Kriminelle haben mit diesen automatisierten, wenig aufwändigen Massenangriffen auf elementare Sicherheitslücken durchgängig Erfolg. Die Fokussierung auf ein vergleichsweise geringes Lösegeld ist eine bewusste Strategie. Der Betrag ist niedrig genug, dass manche Opfer ihn schnell zahlen, anstatt sich mit den Folgen des Datenverlusts auseinanderzusetzen – besonders, wenn ihnen angemessene Backups fehlen.

Die Entwicklung solcher Erpressungsmethoden zeigt einen Wandel in der Cyberkriminalitäts-Landschaft. Während ausgeklügelte Ransomware-Banden große Konzerne mit Millionenforderungen ins Visier nehmen, konzentriert sich ein paralleles Ökosystem von Angreifern auf skalierbare, automatisierte Attacken, die mit einer hohen Anzahl kleinerer Opfer Revenue generieren.

Kontext und Reaktion: Kein Einzelfall im Erpressungsgeschäft

Der breitere Kontext für diese Angriffe ist eine sich ständig weiterentwickelnde Erpressungslandschaft, in der Kriminelle zunehmend Datendiebstahl und Reputationsschaden als Waffe einsetzen. Selbst bei diesen scheinbar simplen „Smash-and-Grab“-Vorfällen kann die Drohung des permanenten Datenverlusts für kleine Unternehmen oder einzelne Entwickler verheerend sein, die oft keine robusten Backup-Prozesse haben.

Während diese spezifische Kampagne Fehlkonfigurationen ausnutzt, stand die Sicherheit von MongoDB kürzlich auch aus anderen Gründen im Fokus. Ende 2025 wurde eine separate, kritische Schwachstelle mit der Kennung CVE-2025-14847 (Spitzname „MongoBleed“) bekannt und aktiv ausgenutzt. Diese Lücke erlaubte nicht authentifizierten Angreifern, sensible Daten aus dem Server-Speicher auszulesen. Es ist entscheidend zu betonen, dass die aktuelle Erpressungswelle nicht auf dieser Schwachstelle basiert, sondern auf dem Fehlen von Authentifizierung – einem viel simpleren Sicherheitsversäumnis.

Ausblick und Schutzmaßnahmen: Grundhygiene ist entscheidend

Das Fortbestehen dieser automatisierten Erpressungskampagnen unterstreicht die kritische Notwendigkeit grundlegender Cybersicherheits-Hygiene. Solange internetzugängliche Datenbanken unsicher konfiguriert bleiben, sind sie ein primäres Ziel für opportunistische Angreifer. Die geringen Kosten und die hohe Erfolgsrate dieser automatisierten Skripte bedeuten, dass solche Attacken voraussichtlich auf unbestimmte Zeit weitergehen werden.

Für Organisationen, die MongoDB nutzen, ist die primäre Verteidigung klar. Administratoren müssen sicherstellen, dass für alle Datenbanken eine Authentifizierung aktiviert ist. Die eigene Sicherheits-Checkliste von MongoDB bietet klare Anleitungen zum Absichern von Instanzen, einschließlich der Durchsetzung von Zugangskontrollen, der Beschränkung der Netzwerk-Exponierung und der regelmäßigen Anwendung von Sicherheits-Patches.

Empfohlene Schutzmaßnahmen umfassen:
* Authentifizierung erzwingen: Konfigurieren Sie sofort starke, eindeutige Zugangsdaten für alle Datenbankinstanzen.
* Netzwerk härten: Nutzen Sie Firewalls, um den Zugriff auf den Datenbankserver einzuschränken. Erlauben Sie Verbindungen nur von vertrauenswürdigen IP-Adressen. Stellen Sie Datenbanken nach Möglichkeit nicht direkt ins öffentliche Internet.
* Regelmäßige Audits: Überwachen und prüfen Sie Konfigurationen kontinuierlich, um sicherzustellen, dass keine Datenbanken versehentlich offen zugänglich sind.
* Daten-Backups: Führen Sie einen robusten, regelmäßig getesteten Backup- und Wiederherstellungsplan. Das ist der einzige garantierte Weg, sich von einem zerstörerischen Angriff zu erholen, ohne Lösegeld zu zahlen.
* Aktualisieren und Patchen: Halten Sie MongoDB und das zugrundeliegende Server-Betriebssystem auf dem neuesten Stand, um bekannte Schwachstellen zu schließen.

PS: Wer Datenverluste durch falsch konfigurierte Datenbanken verhindern will, braucht mehr als Hoffnung. Der Gratis‑Leitfaden „Cyber Security Awareness Trends“ zeigt konkrete Maßnahmen — von Zugangsbeschränkungen über Firewall‑Regeln bis zu Backup‑Tests — und erklärt, wie Sie ohne große Investitionen die Angriffsfläche deutlich reduzieren. Für Geschäftsführer, DevOps und Admins ein praxisnahes Werkzeug mit sofort einsetzbaren Checklisten. Kostenlosen Cyber‑Security‑Leitfaden sichern