Hacker rescata 23k bases de datos MongoDB y amenaza con contactar a las autoridades de GDPR


MongoDB

Un pirata informático ha subido notas de rescate en 22.900 bases de datos MongoDB que quedaron expuestas en línea sin una contraseña, un número que representa aproximadamente el 47% de todas las bases de datos MongoDB accesibles en línea, según ha podido saber ZDNet hoy.

El hacker está utilizando un script automatizado para buscar bases de datos MongoDB mal configuradas, borrar su contenido y dejar una nota de rescate pidiendo un pago de .015 bitcoin (~ $ 140).

El atacante les está dando a las compañías dos días para pagar, y amenaza con filtrar sus datos y luego contactar a la autoridad nearby de cumplimiento del Reglamento Standard de Protección de Datos (GDPR) de la víctima para informar su fuga de datos.

mongodb-gdpr-message.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/07/01/9f4d1f00-a1a5-485a-ab9b-efedcdba169e/mongodb-gdpr-message.png

Imagen: ZDNet

Los ataques que plantaron esta nota de rescate (Go through_ME_TO_Recuperate_YOUR_Info) se vieron desde abril de 2020.

En una llamada telefónica con ZDNet hoy, Victor Gevers, un investigador de seguridad de la Fundación GDI, dijo que los ataques iniciales no incluían el paso de borrado de datos.

El atacante siguió conectándose a la misma foundation de datos, dejando la nota de rescate, y luego regresó nuevamente para dejar otra copia de la misma nota de rescate, unos días después.

mongodb-gdpr-logs.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/07/01/7af3db08-c246-40cd-acb6-76a994dfb285/mongodb-gdpr-logs.png

Imagen: ZDNet

Pero Gevers dijo ZDNet hoy el atacante parece haberse dado cuenta de que cometieron un error en su guión. Desde ayer, el hacker ha corregido su script y ahora está limpiando las bases de datos de MongoDB.

«Todo se fue», dijo Gevers ZDNet. «Todo.»

Si bien algunas de estas bases de datos parecen ser instancias de prueba, Gevers dijo que algunos sistemas de producción también se vieron afectados y ahora se han eliminado los datos de preparación.

Gevers, quien reporta servidores expuestos a compañías como parte de sus deberes en la Fundación GDI, dijo que notó los sistemas eliminados hoy cuando verificó los sistemas MongoDB que estaba programado para informar y obtener seguridad.

«Hoy, solo podía reportar una fuga de datos. Normalmente, puedo hacer al menos entre 5 o 10», dijo Gevers ZDNet.

Ataques similares ocurridos desde finales de 2016

Sin embargo, estos ataques «MongoDB wiping & ransom» no son nuevos, for each se. Los ataques que Gevers descubrió hoy son solo la última fase de una serie de ataques que comenzaron en diciembre de 2016, cuando los piratas informáticos se dieron cuenta de que podían ganar mucho dinero limpiando los servidores MongoDB y dejando atrás una demanda de rescate, engañando a los propietarios de servidores desesperados por recuperar sus archivos. .

Mas que 28,000 servidores fueron rescatados en una serie de ataques en enero de 2017, otros 26,000 en septiembre de 2017, y luego otros 3.000 en febrero de 2019.

En 2017, Davi Ottenheimer, director sénior de seguridad de productos de MongoDB, Inc., culpó a los ataques, y con razón, de la foundation de datos. propietarios que no pudieron establecer una contraseña para sus bases de datos, y luego dejaron sus servidores expuestos en línea sin un firewall.

Casi tres años después, nada parece haber cambiado. De los 60,000 servidores MongoDB que quedaron expuestos en línea a principios de 2017, la aguja apenas se ha movido a 48,000 servidores expuestos hoy, la mayoría de los cuales no tienen habilitada la autenticación.

La mayoría de las veces, estos servidores se exponen en línea después de que los administradores siguen tutoriales de configuración MongoDB incorrectos, cometen errores honestos al configurar sus sistemas o usan imágenes de servidor que vienen con un sistema MongoDB mal configurado de fábrica.

La configuración predeterminada de la base de datos MongoDB hoy viene con valores predeterminados seguros listos para usar, pero a pesar de esto, todavía tenemos decenas de miles de servidores que se exponen en línea a diario por una razón u otra. Para los administradores de servidores que buscan asegurar sus servidores MongoDB de la manera adecuada, el Página de seguridad de MongoDB es el mejor lugar para comenzar a obtener el consejo correcto.





Enlace a la noticia primary