O site BleepingComputer informou que mais de 12.000 bancos de dados MongoDB foram excluídos por invasores e deixados apenas com uma mensagem pedindo o resgate.
O MongoDB é um banco de dados completo de suporte a índices e consultas complexas. Ele um banco de dados NoSQL e sua versão mais recente do MongoDB suporta transações ACID de vários documentos.
Por causa de suas características esse banco permite com que as aplicações modelem informações de modo muito mais natural, pois os dados podem ser aninhados em hierarquias complexas e continuar a ser indexáveis e fáceis de buscar.
Mais de 12.000 bancos de dados MongoDB foram excluídos por invasores
Mais de 12.000 bancos de dados do MongoDB desprotegidos foram excluídos nas últimas três semanas, com apenas uma mensagem deixada para trás pedindo aos proprietários dos bancos de dados que contatem os ciber-extorsionistas, para que os dados sejam restaurados.
Embora não nesta escala, esses tipos de ataques direcionados a bancos de dados MongoDB acessíveis publicamente aconteceram desde pelo menos o início de 2017.
Os invasores que procuram por servidores de banco de dados expostos usando os mecanismos de pesquisa BinaryEdge ou Shodan, os excluem e exigem um resgate por seus “serviços de restauração”.
Enquanto os ataques do Mongo Lock também se destinam a bancos de dados MongoDB remotamente acessíveis e desprotegidos, excluindo-os e exigindo um resgate para recuperar o conteúdo, essa campanha não parece solicitar um valor de resgate específico.
Em vez disso, é fornecido um contato por e-mail com maior probabilidade de negociar os termos da recuperação de dados.
Sanyam Jain, um pesquisador de segurança independente e aquele que encontrou os bancos de dados apagados, forneceu uma explicação bastante razoável para isso, dizendo que ‘essa pessoa pode estar cobrando dinheiro em criptomoeda de acordo com a sensibilidade do banco de dados’.
Os 12.564 bancos de dados MongoDB desprotegidos apagados por Unistellar foram encontrados pelo pesquisador usando BinaryEdge (Shodan relata um número menor de 7.656 bancos de dados, provavelmente devido a consultas bloqueadas).
Vendo que, no momento, a BinaryEdge indexa um pouco mais de 63.000 servidores MongoDB acessíveis publicamente de acordo com Jain, parece que os atacantes Unistellar caíram cerca de 20% do total.
O pesquisador notou pela primeira vez os ataques em 24 de abril, quando descobriu inicialmente um banco de dados limpo do MongoDB que, em vez das enormes quantidades de dados que ele estava acostumado a encontrar, continha apenas a seguinte nota: “Restore? Contact: unistellar@yandex.com”
Embora o método usado pelos invasores para localizar e limpar bancos de dados em números tão grandes ainda não seja conhecido, todo o processo é provavelmente totalmente automatizado.
Depois de se conectar a um dos bancos de dados MongoDB acessíveis publicamente deixados desprotegidos na Internet, o script ou programa usado para fazer isso também é configurado para excluir indiscriminadamente todos os MongoDB não protegidos que ele possa encontrar e depois adicionar as tabelas de resgate.
- Como instalar o poderoso utilitário de rede Nmap no Linux
- Como instalar o módulo de segurança do Banco Itaú no Linux
- Como instalar o app de backup Kopia no Linux via AppImage
- Como instalar o exchange Bisq no Linux via Flatpak
Como Jain disse ao site BleepingComputer, os atacantes Unistellar parecem ter criado pontos de restauração para restaurar os bancos de dados que eles excluíram.
Infelizmente, não há como rastrear se as vítimas pagaram pelos bancos de dados a serem restaurados porque a Unistellar apenas fornece um e-mail para ser contatado e nenhum endereço de criptomoeda é fornecido.
O BleepingComputer também tentou entrar em contato com a Unistellar para confirmar que os bancos de dados do MongoDB apagados foram realmente salvaguardados e se alguma vítima pagou por seus “serviços de restauração”, mas não obteve resposta.
No dia 1 de maio, Bob Diachenko, pesquisador da Security Discovery, encontrou um banco de dados MongoDB desprotegido, expondo 275.265.298 registros de cidadãos indianos com informações pessoais detalhadas, deixados expostos na Internet por mais de duas semanas.
O pesquisador “imediatamente notificou a equipe da Indian CERT sobre o incidente, no entanto, o banco de dados permaneceu aberto e pesquisável até o dia 8 de maio, quando foi suspenso por hackers conhecidos como grupo ‘Unistellar'”.
Depois que o banco de dados exposto do MongoDB foi descartado pela Unistellar, Diachenko descobriu uma nota deixada para trás, combinando com as que Jain encontrou nos outros mais de 12.000 bancos de dados apagados.
Protegendo Bancos de Dados MongoDB
Esses ataques podem acontecer apenas porque os bancos de dados do MongoDB são acessados remotamente e o acesso a eles não está adequadamente protegido.
Isso significa que os proprietários do banco de dados podem evitar facilmente esses ataques seguindo etapas bastante simples projetadas para proteger adequadamente suas instâncias de banco de dados.
O MongoDB fornece detalhes sobre como proteger um banco de dados MongoDB implementando autenticação, controle de acesso e criptografia adequados, além de oferecer uma lista de verificação de segurança a ser seguida pelos administradores.
Mais precisamente, as duas medidas mais importantes que impedirão os ataques são permitir a autenticação e não permitir que os bancos de dados sejam acessados remotamente.
O que está sendo falado no blog
- Mais de 12.000 bancos de dados MongoDB foram excluídos por invasores
- Proton 4.2-4 lançado com DXVK 1.1.1 e mais outras atualizações
- HPLIP 3.19.5 lançado com suporte ao Ubuntu 19.04 de 64 bits
- Clear Linux quer ser a escolha número um para os desenvolvedores Linux
- Agência alemã alertou sobre falha de segurança no Kaspersky Antivirus