Mongo Lock: El ataque que elimina bases de datos de MongoDB

El ataque ya ha rendido frutos para los hackers

Especialistas en hacking ético reportan que un ataque llamado “Mongo Lock” apunta a bases de datos MongoDB accesibles y desprotegidas, eliminando su contenido, y luego exigiendo un rescate para liberar el contenido eliminado.

Si bien esta es una campaña recientemente desplegada, este tipo de ataques no es nuevo y las bases de datos de MongoDB llevan siendo atacadas un tiempo. Estos atacantes operan escaneando en la red con servicios como el motor de búsqueda Shodan para encontrar servidores MongoDB sin protección. Una vez conectados, los atacantes pueden exportar las bases de datos, eliminarlas y luego crear una nota de rescate explicando cómo recuperar las bases de datos.

Bob Diachenko, especialista en hacking ético que descubrió la campaña Mongo Lock, los atacantes se conectarán a una base de datos sin protección y la eliminarán. En el lugar de la base de datos, los atacantes dejarán una nueva base de datos llamada “Warning” (Advertencia) con una colección dentro de ella llamada “ReadMe” (Léeme).

La colección ReadMe contiene una nota explicando que la base de datos ha sido encriptada y que las víctimas deben pagar un rescate para recuperarla. En la campaña Mongo Lock los atacantes no dejan una dirección de cartera en línea de Bitcoin, sino que instruyen a la víctima para comunicarse con ellos por correo electrónico.

En la nota del ataque Mongo Lock puede leerse:

“Su base de datos fue encriptada por ‘Mongo Lock’. Si quiere recuperar su información, debe pagar 0.1 Bitcoin. No elimine ‘Unique_KEY’ y guárdelo en un lugar seguro, sin eso no podremos ayudarle. Envíe un correo electrónico: mongodb@8chan.co para desencriptar sus datos”.

Otras variantes del ataque mostrarán la dirección de Bitcoin que se debe usar para el pago antes de contactar a los atacantes a través del correo electrónico incluido.

A pesar de que la nota de rescate afirma que los atacantes están exportando la base de datos antes de eliminarla, expertos en hacking ético concuerdan en que no es posible afirmar si, efectivamente, lo están haciendo.

Las víctimas están pagando por el rescate

Al buscar algunas de las direcciones de Bitcoin utilizadas en los recientes ataques de MongoDB, ha sido posible comprobar que las víctimas han estado pagando por el rescate de sus bases de datos.

Por ejemplo, la dirección de Bitcoin 3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH, que se ha utilizado con frecuencia en días recientes, ha recibido 3 pagos de rescate por un total de 1.8 unidades de Bitcoin. Esto es equivalente a un poco más de 11 mil dólares, acorde al valor actual de esta divisa digital.

Los scripts no siempre funcionan

Según el especialista en hacking ético, aparentemente los atacantes están usando una secuencia de comandos que automatiza el proceso de acceso a una base de datos MongoDB, posiblemente exportándola, eliminando la base de datos y luego creando la nota de rescate.

Sin embargo, Diachenko se ha dado cuenta de que este script a veces falla y los datos aún están disponibles para el usuario, aunque se haya enviado al usuario la nota de rescate.

Asegurar una base de datos de MongoDB adecuadamente

Estos ataques son posibles gracias a que se puede acceder de manera remota a las bases de datos de MongoDB y no cuentan con las medidas de seguridad suficientes, la buena noticia es que los ataques se pueden prevenir simplemente implementando las medidas adecuadas para la seguridad de una base de datos MongoDB.

La empresa cuenta en su sitio web con una guía para dotar a su base de datos de la correcta protección; expertos en hacking ético del Instituto Internacional de Seguridad Cibernética mencionan que los pasos más importantes para proteger una implementación de MongoDB son el establecimiento de un paso de autenticación, y la restricción del acceso remoto a la base de datos.