Un hacker tente de rançonner 23 000 bases de données MongoDB

Spread the love
Un hacker tente de rançonner 23 000 bases de données MongoDB

Un hacker a uploadé des notes de rançon sur 22 900 bases de données MongoDB laissées exposées en ligne sans mot de passe, un chiffre qui représente environ 47% de toutes les bases de données MongoDB accessibles en ligne, a appris ZDNet.

publicité

Le pirate utilise un script automatisé pour rechercher les bases de données MongoDB mal configurées, effacer leur contenu et laisser une demande de rançon de 0,015 bitcoin (~140 dollars).

L’agresseur donne aux entreprises deux jours pour payer et menace de divulguer leurs données, puis de contacter l’autorité locale chargée de faire appliquer le règlement général sur la protection des données (RGPD) de la victime pour signaler la fuite de données.

mongodb-gdpr-message.png

Image : ZDNet

Des attaques utilisant cette demande de rançon (READ_ME_TO_RECOVER_YOUR_DATA) ont été observés dès avril 2020.

Dans un appel téléphonique avec ZDNet aujourd’hui, Victor Gevers, un chercheur en sécurité de la Fondation GDI, a déclaré que les attaques initiales n’incluaient pas d’effacement des données.

L’agresseur a continué à se connecter à la même base de données, laissant la demande de rançon, puis y retournant pour laisser une autre copie de la même demande, quelques jours plus tard.

mongodb-gdpr-logs.png

Image : ZDNet

Mais Gevers explique à ZDNet que l’agresseur semble avoir réalisé qu’il avait fait une erreur dans son scénario. Depuis hier, le pirate a corrigé son script et est en train de supprimer les données dans les bases de données.

“Tout est parti”, a dit M. Gevers à ZDNet. “Tout”.

Bien que certaines de ces bases de données semblent être des outils de test, M. Gevers a déclaré que certains systèmes de production ont également été touchés et ont maintenant vu leurs données supprimées.

M. Gevers, qui signale les serveurs exposés aux entreprises dans le cadre de ses fonctions au sein de la Fondation GDI, a déclaré qu’il avait remarqué les systèmes effacés plus tôt dans la journée lors de la vérification des systèmes MongoDB qu’il devait surveiller et sécuriser.

“Aujourd’hui, je n’ai pu signaler qu’une seule fuite de données. Normalement, je peux en faire au moins 5 ou 10”, a déclaré M. Gevers à ZDNet.

Des attaques similaires se produisent depuis fin 2016

Cependant, ces attaques “MongoDB wiping & ransom” ne sont pas nouvelles, en soi. Les attaques que Gevers a repérées aujourd’hui ne sont que la dernière phase d’une série d’attaques qui ont commencé en décembre 2016, lorsque les pirates ont réalisé qu’ils pouvaient gagner beaucoup d’argent en effaçant les serveurs MongoDB et en laissant derrière eux une demande de rançon,profitant des propriétaires de serveurs qui cherchaient désespérément à récupérer leurs données.

Plus de 28 000 serveurs ont fait l’objet d’une série d’attaques en janvier 2017, 26 000 autres en septembre 2017, puis 3 000 en février 2019.

En 2017, Davi Ottenheimer, directeur principal de la sécurité des produits chez MongoDB, Inc. a imputé les attaques – et à juste titre – sur les proprietaires de ces bases de données, (https://www.mongodb.com/blog/post/update-how-to-avoid-a-malicious-attack-that-ransoms-your-data) qui ont laissé leurs serveurs exposés en ligne sans pare-feu.

Près de trois ans plus tard, rien ne semble avoir changé. Des 60 000 serveurs MongoDB laissés exposés en ligne au début de 2017, l’aiguille a à peine bougé pour atteindre 48 000 serveurs exposés aujourd’hui, dont la plupart n’ont toujours pas d’authentification activée.

La plupart du temps, ces serveurs sont exposés en ligne après que les administrateurs aient suivi des tutoriels de configuration de MongoDB incorrects, aient commis des erreurs lors de la configuration de leurs systèmes ou aient utilisé des images serveur qui sont fournies avec un système MongoDB mal configuré.

La configuration par défaut de la base de données MongoDB est aujourd’hui fournie avec des paramètres par défaut sécurisés, mais malgré cela, nous avons encore des dizaines de milliers de serveurs qui sont exposés en ligne quotidiennement pour une raison ou une autre. Pour les administrateurs de serveurs qui cherchent à sécuriser leurs serveurs MongoDB de la bonne manière, la page de sécurité MongoDB est le meilleur endroit pour commencer à obtenir les bons conseils.

Source : “ZDNet.com”

Leave a Reply