Un hacker llamado Harak1r1 está secuestrando las bases de datos no protegidos MongoDB, roba su contenido, y pide un rescate Bitcoin para devolver los datos.
Estos ataques han estado sucediendo desde el 25 de diciembre y han afectado a los servidores de todo el mundo. El primero en notar los ataques fue el investigador de seguridad Victor Gevers, que, como parte del Proyecto 366 con la Fundación GDI, ha estado ocupado en busca de servidores MongoDB sin protección y alertar a las empresas sobre su estado.
El 27 de diciembre, Gevers tropezó con otro servidor MongoDB que quedó abierta las conexiones externas y sin una contraseña de la cuenta de administrador.
A diferencia de otros casos que descubrió en el pasado, éste era diferente. Cuando se accede al servidor abierto, en lugar de ver el contenido de la base de datos, una colección de tablas, Gevers encontró sólo una tabla, llamada "ADVERTENCIA". El contenido de esta tabla fue:
{
"_id" : ObjectId("5859a0370b8e49f123fcc7da"),
"mail" : "harak1r1@sigaint.org",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}
De acuerdo con Gevers, el atacante había accedido a la base de datos MongoDB sin protección, exportado su contenido y sustituye todos los datos con la tabla anterior.
"Pude confirmar esto porque los archivos de registro muestran claramente que la fecha en la que se exportó por primera vez y luego se creó la nueva base de datos con el nombre de tabla ADVERTENCIA," Gevers dijo que. "Se está registrando Cada acción en los servidores de base de datos."
La buena noticia es que después de Gevers informó a la empresa propietaria del servidor de base de datos, que fueron capaces de recuperar sus datos, que se acaba de copia de seguridad justo antes de la intrusión.
Se ha informado de ataques similares en China
Una rápida búsqueda en Google de dirección de correo electrónico del atacante y dirección Bitcoin revela otros usuarios se quejan acerca de incidentes similares.
Todos los incidentes parecen haber tenido lugar en la última semana, haciendo alusión a una operación masiva de exploración llevada a cabo por Harak1r1, que luego accede a estos sistemas y mantuvo sus datos para el rescate.
"Esto no es ransomware. La base de datos no quede encriptada. Sólo es reemplazado," Gevers quiso dejar claro. "Se trata de alguien que lo hace manualmente o con un simple script de Python."
Gevers, quien también publicó sus hallazgos en Twitter, dijo que ha estado recibiendo peticiones de ayuda de las empresas que se han visto afectados por los ataques de Harak1r1.
"Después de publicar este tweet, tengo un par de peticiones de ayuda de las organizaciones que han pagado para obtener una copia de seguridad de su base de datos de ida y querían asegurarse de que no pueden ser hackeado de nuevo", dijo Gevers.
El problema de instancias MongoDB no protegidos
"He estado muy ocupado durante años rastreando sistemas ejecutables y de informar de ellos a través de una fuente responsable de las organizaciones a las que pertenecen," añadió Gevers. "He estado haciendo esto desde hace mucho tiempo y tengo más de 5200 responsables revelaciones hechas en todo el mundo."
El experto en seguridad dice que la culpa de estos incidentes son viejos casos MongoDB desplegadas a través de servicios de alojamiento en la nube.
"Los MongoDBs más abiertas y vulnerables se pueden encontrar en la plataforma AWS porque este es el lugar favorito de la mayoría de las organizaciones que deseen trabajar de manera DevOps," dijo Gevers. "Alrededor del 78% de todos estos huéspedes estaban corriendo versiones vulnerables conocidos."
Estas versiones vulnerables MongoDB son más viejos con una configuración por defecto salió de la base de datos abierta a las conexiones externas a través de Internet.
MongoDB, Inc., la compañía detrás de MongoDB ha solucionado este problema unos meses más tarde, pero las empresas continuan usando las versiones no actualizadas, en la mayoría de los casos, porque esas versiones fueron las imágenes predeterminadas en MongoDB AWS y otros servicios de alojamiento en la nube.
11 víctimas pagaron el rescate
El webmasters debe ser muy cuidadoso porque esta ola de ataque no es una broma. Según las estadísticas de Blockchain.info, al menos once propietarios MongoDB han pagado Harak1r1 el 0,2 Bitcoin rescate para recuperar sus archivos.
Esta no es la primera vez que los ladrones se han centrado en los sistemas de base de datos abierta y se mantiene sus datos para el rescate.
Durante el 2016, un ladrón utilizando el ID de Jabber ryan@exploit.im había sido secuestrando servidores Redis y infectarlos con el ransomware Fairware.
Fecha actualización el 2017-6-18. Fecha publicación el 2017-1-3. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio