El número de servidores MongoDB secuestrados en poder de rescate se ha disparado en los últimos dos días a 28.200. En gran parte gracias a la participación del grupo conocido como ransomware profesional Kraken.
Según las estadísticas proporcionadas por dos investigadores de seguridad el seguimiento de estos ataques, Victor Gevers y Niall Merrigan, este grupo está detrás de todo cerca de 16.000 bases de datos secuestrados, que es alrededor del 56% de todos los casos de MongoDB saqueados.
El grupo Kraken se involucró en estos ataques el viernes, 6 de enero de ver cómo habían sido exitosas y rentables ataques anteriores de otros grupos.
El número de servidores MongoDB secuestrados pasaron de 1.800 a 28.000 en una semana
En este momento hay doce grupos de lanzamiento de ataques a las bases de datos MongoDB no garantizados. Estas bases de datos son una presa fácil, ya que hemos quedado expuestos a las conexiones a Internet sin contraseña de la cuenta de administrador.
Estos grupos acceden a estas bases de datos no garantizados, exportar su contenido, y dejar un mensaje detrás pidiendo un pago de un rescate con el fin de devolver los datos.
De acuerdo con la Gevers y Merrigan, en los últimos días, algunos grupos ni siquiera descargar los datos, sino que simplemente eliminarlo. Sin embargo, muchas empresas pagan para obtener sus datos de nuevo.
El grupo profesional ransomware Kraken se involucra en ataques MongoDB
A medida que el número de servidores secuestrados creció a más de 28.000, el aumento masivo que tuvo lugar el fin de semana fue impulsado por la participación de Kraken, un grupo que ha sido previamente implicados en la distribución de ransomware "clásica" de Windows.
La conexión entre el ransomware Windows y los ataques MongoDB proviene del uso de la misma dirección de correo electrónico en los dos ataques: kraken0@india.com.
Antes de los ataques a las bases de datos MongoDB, el grupo había creado y desplegado su propia marca de ransomware, conocido como el Kraken ransomware.
De acuerdo con Michael Gillespie, el creador de ID-ransomware, un servicio que permite a las víctimas ransomware detectar qué familia ransomware ha bloqueado sus archivos, el Kraken ransomware nunca fue "un éxito".
"[Kraken era] muy pequeño, sólo un puñado de las presentaciones a ID-ransomware", dijo Gillespie, "cerca de 8 direcciones IP únicas de los EE.UU., Eslovaquia, Alemania, la República Checa, India y Chipre."
Eso es 8 infecciones Kraken del 1 de diciembre, 2016, y 3 de enero, 2017, que es un número ridículamente pequeño. Otras familias, ransomware más maduros como Locky o Cerber infectar a cientos de usuarios por semana.
Parece ser que el grupo Kraken podría haber encontrado un nicho más lucrativo en el que pueden operar.
el grupo Kraken se hizo con $ 6220 en 3 días de secuestro de servidores MongoDB
El grupo, que pide un rescate de entre 0,1 y 1 Bitcoin Bitcoin ha hecho 6,89700196, que es de aproximadamente $ 6.220. Eso es alrededor de $ 2,000 por día, desde su lanzamiento en MongoDB ataques de secuestro el pasado viernes.
De acuerdo con Gevers y Merrigan, el grupo ha sido el lanzamiento de ataques de la misma dirección IP que otros grupos.
"El atacante de IP 46.166.173.106 ha sido utilizado por varios grupos, que huele a Ransom Mongo como una especie de servicio de la instalación," Segun Gevers.
