En el mundo de la ciberseguridad se conoce como MongoDB Apocalypse. desde que este “movimiento” comenzó (si es que puede llamarse así), han sido muchas las bases de datos que se han visto afectadas. Sin ir más lejos, en el último fin de semana se han sumado a una lista bastante larga 26.000 nuevos servidores con estas bases de datos que se han visto afectados por ransomware.
Para ser más precisos, es necesario remontarse a finales del pasado año para encontrar el origen de estos ataques. Se mostró actividad durante el mes de diciembre y los meses posteriores, a partir de ese momento, se paralizó la actividad de esta oleada de ataques contra estas bases de datos.
Lo que realizan estos grupos es un análisis de los servidores visibles desde Internet, buscando que la configuración de las bases de datos fuese deficiente. de esta forma, son capaces de saltarse la seguridad existente e instalar el ransomware y que a los usuarios les aparezca el aviso de que hay un ransomwareinstalado (el funcionamiento que conocemos y que se repite).
Aunque se indica que muchas de las bases de datos afectadas son de prueba y no posee información, existe constancia de un número reducido pertenece a empresas. No está confirmado, pero circula a través de Internet que alguna se habría visto obligada a pagar el “rescate” solicitado para recuperar el acceso a la información.
Además de MongoDB, otros servicios afectados
Hay que decir que el ataque no se centra solo sobre este servicio. Sí es cierto que los objetivos son estas bases de datos, pero los ciberdelincuentes no se centran solo en actuar sobre ellas. Es decir, extienden el ataque sobre más servicios para la posibilidad de acierto o difusión a otros servidores sea mayor.
Apache, MySQL, CouchDB, ElasticSearch o Cassandra son otros servicios que acostumbran a estar presente en este tipo de dispositivos y que se han visto afectados en algunos casos.
Tanto la bases de datos como Apache se utilizan por los ciberdelincuentes para distribuir otras amenazas, una práctica bastante frecuente, sobre todo si se dispone un servicio de forma gratuita que permite aumentar la repercusión del ataque.
Se ha alcanzado el pico de servidores afectados
Diferentes compañías de seguridad indican que, en principio, no habría de qué preocuparse. Es decir, este número tan alto de bases de datos Mongo DB afectadas no corresponde con una vulnerabilidad existente, sino más bien por la ausencia de una configuración de seguridad adecuada.
Añaden que el pico máximo de infecciones se debería haber alcanzado y que a partir de este momento la actividad descenderá. Sin embargo, estos ataques los ven como un aviso de cuáles pueden ser las víctimas de los ransomware en un futuro no muy lejano. Es decir, los ciberdelincuentes abandonarían los clientes particulares para centrarse en los servidores y sus bases de datos, algo que sin lugar a dudas pondrá a prueba los sistemas de seguridad de las empresas.
Fuente:https://www.redeszone.net/2017/09/06/ransomware-se-ceba-las-bases-datos-mongodb/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad