MongoDB Ransack: 33.000 bases de datos MongoDB secuestradas por Ransomware
Según los últimos números asociados a la campaña contra base de datos MongoDB mal configuradas, cerca de 33.000 bases de datos han sido "secuestradas".
Por ejemplo, una de las bases de datos MongoDB afectadas pertenece a la Universidad de Princeton. De acuerdo con DataBreaches.net, la Universidad no ha comentado sobre el incidente y no hay información sobre qué tipo de datos fueron afectados.
Lo que empezó como un incidente aislado en diciembre, resultó ser una "carnicería masiva" de bases de datos inseguras. Ahora, varios actores están tratando de sacar provecho de estas bases de datos incorrectamente configuradas y públicas en Internet.
Inicialmente, se observó que un solo delincuente secuestró bases de datos MongoDB y pedía un rescate de 0,2 Bitcoin. Poco después de la primera ronda de ataques, otros delincuentes decidieron unirse a la campaña y actualmente, las bases de datos MongoDB están siendo atacados por casi dos docenas de delincuentes y el ritmo de bases de datos afectadas se ha incrementado dramáticamente.
De acuerdo a un tweet de Niall Merrigan, estos ataques son fáciles de realizar, porque las bases de datos expuestas pueden ser descubiertas utilizando herramientas en línea, y las instalaciones no están aseguradas por defecto. De hecho, mientras que otras bases de datos requieren algún tipo de credenciales, las bases de datos MongoDB están expuestos a Internet desde el principio y no requieren credenciales de ningún tipo.
Apodada como "MongoDB Ransack", esta campaña está siendo monitoreada por Merrigan y Gevers. Este último ha estado buscando bases de datos inseguras para advertir a las empresas del riesgo que suponen. Sin embargo, muchas de sus revelaciones responsables han quedado sin respuesta.
Más recientemente, los atacantes comenzaron a buscar sacar provecho de la publicidad que rodea a la campaña, y uno de ello decidió poner a la venta el software utilizado para el secuestro de las bases de datos. La herramienta se llama Kraken MongoDB ransomware, y su código fuente en C# se ofrece por sólo U$S 200 en Bitcoin.
Uno de los efectos de esta campaña es que la cantidad de datos almacenados en MongoDB ha disminuido considerablemente en las últimas semanas. De acuerdo con Morrigan, como consecuencia de estos ataques, 114.5 terabytes de datos se perdieron en menos de tres días.
De hecho, los investigadores ya han advertido de que la mayor parte de los atacantes ya no tienen control de las bases de datos, simplemente los han borrado y pretenden que todavía los tienen para cobrar los rescates.
En algunos casos, la misma base de datos es atacada varias veces, ya que los atacantes van tras el mismo conjunto de objetivos, lo que significa que las organizaciones podrían terminar pagando el rescate a un atacante incorrecto. Las víctimas no sólo deben abstenerse de pagar el rescate, sino que también deben pedir una "prueba de vida", para garantizar que sus datos siguen existiendo.
En este momento hay más de 50.000 bases de datos MongoDB con acceso público en Internet y de acuerdo con Gevers, todas las bases de datos inseguras podrían ser atacadas en un par de semanas, tal vez incluso más rápido.
Mientras tanto, las organizaciones con bases de datos MongoDB deben tomar las medidas adecuadas para asegurar sus instalaciones y asegurarse no ser víctimas de este ataque. La semana pasada, MongoDB publicó una entrada en el blog con todos los detalles sobre cómo los administradores pueden asegurar sus bases de datos.
Fuent: Security Week
Por ejemplo, una de las bases de datos MongoDB afectadas pertenece a la Universidad de Princeton. De acuerdo con DataBreaches.net, la Universidad no ha comentado sobre el incidente y no hay información sobre qué tipo de datos fueron afectados.
Inicialmente, se observó que un solo delincuente secuestró bases de datos MongoDB y pedía un rescate de 0,2 Bitcoin. Poco después de la primera ronda de ataques, otros delincuentes decidieron unirse a la campaña y actualmente, las bases de datos MongoDB están siendo atacados por casi dos docenas de delincuentes y el ritmo de bases de datos afectadas se ha incrementado dramáticamente.
De acuerdo a un tweet de Niall Merrigan, estos ataques son fáciles de realizar, porque las bases de datos expuestas pueden ser descubiertas utilizando herramientas en línea, y las instalaciones no están aseguradas por defecto. De hecho, mientras que otras bases de datos requieren algún tipo de credenciales, las bases de datos MongoDB están expuestos a Internet desde el principio y no requieren credenciales de ningún tipo.
Apodada como "MongoDB Ransack", esta campaña está siendo monitoreada por Merrigan y Gevers. Este último ha estado buscando bases de datos inseguras para advertir a las empresas del riesgo que suponen. Sin embargo, muchas de sus revelaciones responsables han quedado sin respuesta.
Más recientemente, los atacantes comenzaron a buscar sacar provecho de la publicidad que rodea a la campaña, y uno de ello decidió poner a la venta el software utilizado para el secuestro de las bases de datos. La herramienta se llama Kraken MongoDB ransomware, y su código fuente en C# se ofrece por sólo U$S 200 en Bitcoin.
Uno de los efectos de esta campaña es que la cantidad de datos almacenados en MongoDB ha disminuido considerablemente en las últimas semanas. De acuerdo con Morrigan, como consecuencia de estos ataques, 114.5 terabytes de datos se perdieron en menos de tres días.
De hecho, los investigadores ya han advertido de que la mayor parte de los atacantes ya no tienen control de las bases de datos, simplemente los han borrado y pretenden que todavía los tienen para cobrar los rescates.
En algunos casos, la misma base de datos es atacada varias veces, ya que los atacantes van tras el mismo conjunto de objetivos, lo que significa que las organizaciones podrían terminar pagando el rescate a un atacante incorrecto. Las víctimas no sólo deben abstenerse de pagar el rescate, sino que también deben pedir una "prueba de vida", para garantizar que sus datos siguen existiendo.
En este momento hay más de 50.000 bases de datos MongoDB con acceso público en Internet y de acuerdo con Gevers, todas las bases de datos inseguras podrían ser atacadas en un par de semanas, tal vez incluso más rápido.
Mientras tanto, las organizaciones con bases de datos MongoDB deben tomar las medidas adecuadas para asegurar sus instalaciones y asegurarse no ser víctimas de este ataque. La semana pasada, MongoDB publicó una entrada en el blog con todos los detalles sobre cómo los administradores pueden asegurar sus bases de datos.
Fuent: Security Week
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!