Decenas de miles de bases de datos MongoDB mal configuradas han sido comprometidas durante la semana pasada, los atacantes han borrado de datos y exigente hasta un bitcoin para devolverlos.
Victor Gevers, de la Fundación GDI con sede en Holanda, y Niall Merrigan, un desarrollador con sede en Noruega, han estado siguiendo una oleada de ataques contra instalaciones de MongoDB en la que un puñado de grupos están eliminando las bases de datos vulnerables y sustituyéndolas por una base de datos vacía con nombres tales como "ADVERTENCIA", "PWNED ', y' PLEASE_READ '.
Los atacantes demandan para entregar una copia que se pueden comprar por más menos 0.2BTC y 1BTC, pero no hay garantía de que los datos sean realmente devueltos si se hace un pago.
De acuerdo con Merrigan, unos 27.000 servidores MongoDB se han comprometido en los pasados días, junto a una estimación de 2.000 , el 3 de enero y 8542 el 5 de enero .
MongoDB es una base de datos NoSQL de código abierto, ampliamente utilizado para grandes volúmenes de datos y análisis. En el DB-Motores Ranking de popularidad de base de datos se encuentra en la cuarta posición de 315 sistemas, sólo por detrás de Oracle, MySQL y Microsoft SQL Server.
En el recuento actual, más de una cuarta parte de los 99.000 casos MongoDB abiertos han sido comprometidos.
Los atacantes han ido directamente a por la fruta madura, es decir, casos MongoDB que no tienen cuentas de administrador protegidas por contraseña.
El aumento repentino de ataques puede ser atribuido a grupos de imitación compitiendo por un pedazo. Los ataques se registraron por primera vez a mediados de diciembre mediante el nombre, Harak1r1.
Ahora hay más de una docena de grupos que usan su propia dirección de correo electrónico y carteras Bitcoin, de acuerdo a una hoja de cálculo mantenida por Gevers y Merrigan. El atacante más activo, Kraken0, ha comprometido 15.482 bases de datos y está exigiendo 1BTC para devolver los datos suprimidos.
Los dos investigadores dicen que han ayudado a más de 100 organizaciones cuya base de datos se ha visto afectados por los ataques.
Merrigan dijo que los ataques MongoDB eran una "fiebre del oro".
El director de seguridad del producto MongoDB , Andreas Nilsson, ha publicado una lista de las acciones que los administradores pueden utilizar para evitar los ataques. Al igual que con la mayoría de los ataques de ransomware, Nilsson hizo hincapié en la importancia de realizar copias de seguridad.
"Si se realizan regularmente copias de seguridad de la base de datos comprometidas, pueden restaurar la copia de seguridad más reciente ... Si usted no tiene una copia de seguridad o de otro modo son incapaces de restaurar los datos, por desgracia, los datos se pueden perder de forma permanente", escribió .
"Usted debe asumir que el atacante tiene una copia de todos los datos de la base de datos afectada", agregó.
No hay comentarios:
Publicar un comentario