MongoDB Apocalypse vuelve con tres nuevos grupos que secuestran más de 26.000 servidores.
Los ataques, detectados por los investigadores de seguridad Dylan Katz y Victor Gevers, son una continuación de la llamada MongoDB Apocalypse que se inició a finales de diciembre de 2016 y continuó durante los primeros meses de 2017.Durante esos ataques, varios equipos de hackers escanean Internet para encontrar bases de datos MongoDB con conexiones externas abiertas.
La mayoría de estas bases de datos expuestas eran sistemas de prueba, pero algunos datos de producción contenidas y unas pocas empresas terminan pagando el rescate sólo para averiguar después que han sido estafados y el atacante nunca tuvo sus datos.
Nueva ola de secuestros de base de datos MongoDB
Varios investigadores de seguridad han rastreado los ataques con la ayuda de una hoja de cálculo de Google Docs. En total, los atacantes arruinados más de 45.000 bases de datos, si no más.De MongoDB, ataques de rescate también se extienden a otras tecnologías de servidor, como Elasticsearch, Hadoop, CouchDB, Cassandra, y MySQL servidores.
Durante la primavera y el verano, grupos de piratas informáticos implicados en estos ataques disminuyeron, y el número de servidores rescatados descendieron.
La semana pasada, tres nuevos grupos surgieron, identificado en base a la dirección de correo electrónico que se utilizan en las notas de rescate.
- cru3lty@safe-mail.net secuestra 22,449 base de datos, pidiendo 0,2 BTC
- wolsec@secmail.pro secuestra 3,516 base de datos, pidoendo 0,05 BTC
- mongodb@tfwno.gf secuetra 839 base de datos, pidoendo doce y quince BTC
Menos atacantes, pero el impacto más grande
"La cantidad de (nuevos) atacantes fue abajo en comparación con el comienzo del año, pero el alcance destructivo (en lo que respecta a las víctimas) por ataque aumentaron en número," Gevers dijo a bleepingcomputer en una conversación privada. "Así que parece que hay menos atacantes, pero con un impacto más grande."Para ponerlo en perspectiva, que tomó atacantes de la primera ola de ataques MongoDB casi tardo un mes para acumular 45.000 DBs rescatados. El grupo Cru3lty logró la mitad de la semana del 28 de agosto.
Gevers dice que ha visto casos en los que el grupo secuestra DB de un usuario, el usuario restaura una copia de base de datos de las copias de seguridad, y el grupo rescata el servidor de nuevo en el mismo día, porque la víctima no pudo asegurar adecuadamente su base de datos.
"Ahora tenemos que estudiar exactamente lo que está pasando aquí, porque nos estamos perdiendo piezas del rompecabezas para mantener una imagen completa", dijo Gevers. "¿Es esto una falta de conocimiento? Hicieron fastidiarla con la configuración de seguridad [] MongoDB sin saberlo? ¿Están funcionando con la versión más antigua y sin defecto de seguridad y otras vulnerabilidades?"
Gevers también dijo que también tendrá que consultar a algunos expertos externos para ayudarle a analizar esta ola masiva de secuestros MongoDB.
Gevers, es el presidente de la Fundación GDI, una organización sin ánimo de lucro que trabaja para asegurar los dispositivos expuestos en línea, ha estado ocupado todo el año asegurar todo tipo de dispositivos, desde AWS S3 cubos a instancias Jenkins , y desde ordenadores infectados con EternalBlue a GitHub repos que contienen credenciales sensibles.
Fecha actualización el 2017-9-4. Fecha publicación el 2017-9-4. Categoría: MongoDB. Autor: Oscar olg Mapa del sitio Fuente: bleepingcompute