Ataque Mongo Lock apunta a bases de datos MongoDB
Un ataque llamado Mongo Lock apunta a bases de datos MongoDB accesibles y desprotegidas limpiándolas y luego demandando un rescate para recuperar los contenidos.
Si bien esta nueva campaña usa un nombre para identificarse, estos tipos de ataques no son nuevos y las bases de datos de MongoDB ya han sido atacadas por un tiempo.
Estos secuestradores funcionan por atacantes que escanean Internet o usan servicios como Shodan.io para buscar servidores MongoDB sin protección. Una vez conectados, los atacantes pueden exportar las bases de datos, eliminarlas y luego crear una nota de rescate explicando cómo recuperar las bases de datos.
Según el investigador de seguridad Bob Diachenko, que descubrió la nueva campaña de Mongo Lock, los atacantes se conectarán a una base de datos sin protección y la eliminarán.
En su lugar, los atacantes dejarán una nueva base de datos llamada "Advertencia" con una colección dentro de ella llamada "Léame".
La colección Readme contendrá una nota de rescate que explica que la base de datos ha sido encriptada y que las víctimas deben pagarles un rescate para recuperarla. En la campaña Mongo Lock, como se muestra a continuación, los atacantes no dejan una dirección de bitcoin, sino que dirigen a la víctima para que se comunique con ellos por correo electrónico.
La nota de rescate del ataque Mongo Lock dice: Your database was encrypted by 'Mongo Lock'. if you want to decrypt your database, need to be pay us 0.1 BTC (Bitcoins), also don't delete 'Unique_KEY' and save it to safe place, without that we cannot help you. Send email to us: mongodb@8chan.co for decryption service.
Otros ataques mostrarán la dirección de bitcoin que se debe usar para el pago antes de contactar a los atacantes a través del correo electrónico incluido.
{
"BitCoin" : "3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH",
"eMail" : "dbbackups@protonmail.com",
"Exchange" : "https://www.coincola.com/",
"Solution" : "Your Database is downloaded and backed up on our secured servers. To recover your lost data: Send 0.6 BTC to our BitCoin Address and Contact us by eMail with your server IP Address and a Proof of Payment. Any eMail without your server IP Address and a Proof of Payment together will be ignored. We will drop the backup after 24 hours. You are welcome!"
}
Mientras que la nota de rescate afirma que los atacantes están exportando la base de datos antes de eliminarla, Diachenko nos dijo que no sabía si eso se estaba haciendo realmente porque "no tiene acceso a los registros, solo los administradores pueden decir eso con certeza".
Las víctimas están pagando rescates
Al buscar algunas de las direcciones de bitcoin utilizadas en los recientes ataques de MongoDB, las víctimas han estado pagando los rescates.
Por ejemplo, la dirección de bitcoin 3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH, que se ha utilizado con frecuencia, ha tenido 3 pagos de rescate por un total de 1,8 bitcoins. Esto es equivalente a un poco más de $ 11,000 USD al valor actual de bitcoins.
Según Diachenko, parece que los atacantes están usando una secuencia de comandos que automatiza el proceso de acceso a una base de datos MongoDB, posiblemente exportándola, eliminando la base de datos y luego creando la nota de rescate.
Sin embargo, Diachenko se ha dado cuenta de que este guión a veces falla y los datos aún están disponibles para el usuario, aunque se haya creado una nota de rescate.
Proteger adecuadamente una base de datos MongoDB.
Estos ataques pueden ocurrir porque la base de datos MongoDB es remotamente accesible y no está asegurada adecuadamente. Esto significa que estos ataques se previenen fácilmente siguiendo pasos simples para asegurar la instancia de la base de datos.
MongoDB tiene un buen artículo sobre cómo proteger adecuadamente una base de datos e incluso ofrece una lista de verificación de seguridad que los administradores pueden seguir.
Los dos pasos más importantes que evitarán este tipo de ataques son habilitar la autenticación y no permitir el acceso remoto a estas bases de datos.