Mongo Lock: El ataque que elimina bases de datos de MongoDB

El ataque ya ha rendido frutos para los hackers

Especialistas en hacking √©tico reportan que un ataque llamado ‚ÄúMongo Lock‚ÄĚ apunta a bases de datos¬†MongoDB¬†accesibles y desprotegidas, eliminando su contenido, y luego exigiendo un rescate para liberar el contenido eliminado.

Si bien esta es una campa√Īa recientemente desplegada, este tipo de ataques no es nuevo y las bases de datos de MongoDB llevan siendo atacadas un tiempo. Estos atacantes operan escaneando en la red con servicios como el motor de b√ļsqueda Shodan para encontrar servidores MongoDB sin protecci√≥n. Una vez conectados, los atacantes pueden exportar las bases de datos, eliminarlas y luego crear una nota de rescate explicando c√≥mo recuperar las bases de datos.

Bob Diachenko, especialista en hacking √©tico que descubri√≥ la campa√Īa Mongo Lock, los atacantes se conectar√°n a una base de datos sin protecci√≥n y la eliminar√°n. En el lugar de la base de datos, los atacantes dejar√°n una nueva base de datos llamada ‚ÄúWarning‚ÄĚ (Advertencia) con una colecci√≥n dentro de ella llamada ‚ÄúReadMe‚ÄĚ (L√©eme).

La colecci√≥n ReadMe contiene una nota explicando que la base de datos ha sido encriptada y que las v√≠ctimas deben pagar un rescate para recuperarla. En la campa√Īa Mongo Lock los atacantes no dejan una direcci√≥n de cartera en l√≠nea de Bitcoin, sino que instruyen a la v√≠ctima para comunicarse con ellos por correo electr√≥nico.

En la nota del ataque Mongo Lock puede leerse:

‚ÄúSu base de datos fue encriptada por ‚ÄėMongo Lock‚Äô. Si quiere recuperar su informaci√≥n, debe pagar 0.1 Bitcoin. No elimine ‚ÄėUnique_KEY‚Äô y gu√°rdelo en un lugar seguro, sin eso no podremos ayudarle. Env√≠e un correo electr√≥nico: mongodb@8chan.co para desencriptar sus datos‚ÄĚ.

Otras variantes del ataque mostrarán la dirección de Bitcoin que se debe usar para el pago antes de contactar a los atacantes a través del correo electrónico incluido.

A pesar de que la nota de rescate afirma que los atacantes están exportando la base de datos antes de eliminarla, expertos en hacking ético concuerdan en que no es posible afirmar si, efectivamente, lo están haciendo.

Las víctimas están pagando por el rescate

Al buscar algunas de las direcciones de Bitcoin utilizadas en los recientes ataques de MongoDB, ha sido posible comprobar que las víctimas han estado pagando por el rescate de sus bases de datos.

Por ejemplo, la dirección de Bitcoin 3FAVraz3ovC1pz4frGRH6XXCuqPSWeh3UH, que se ha utilizado con frecuencia en días recientes, ha recibido 3 pagos de rescate por un total de 1.8 unidades de Bitcoin. Esto es equivalente a un poco más de 11 mil dólares, acorde al valor actual de esta divisa digital.

Los scripts no siempre funcionan

Seg√ļn el especialista en¬†hacking √©tico, aparentemente los atacantes est√°n usando una secuencia de comandos que automatiza el proceso de acceso a una base de datos MongoDB, posiblemente export√°ndola, eliminando la base de datos y luego creando la nota de rescate.

Sin embargo, Diachenko se ha dado cuenta de que este script a veces falla y los datos a√ļn est√°n disponibles para el usuario, aunque se haya enviado al usuario la nota de rescate.

Asegurar una base de datos de MongoDB adecuadamente

Estos ataques son posibles gracias a que se puede acceder de manera remota a las bases de datos de MongoDB y no cuentan con las medidas de seguridad suficientes, la buena noticia es que los ataques se pueden prevenir simplemente implementando las medidas adecuadas para la seguridad de una base de datos MongoDB.

La empresa cuenta en su sitio web con una guía para dotar a su base de datos de la correcta protección; expertos en hacking ético del Instituto Internacional de Seguridad Cibernética mencionan que los pasos más importantes para proteger una implementación de MongoDB son el establecimiento de un paso de autenticación, y la restricción del acceso remoto a la base de datos.