Cualquier oportunidad es buena si se quiere recaudar. En esta ocasión no estamos hablando de un virus informático sino de la actividad que un hacker ha desarrollado en los últimos días. Se está valiendo de bases de datos MongoDB que están desprotegidas para cifrar el contenido de las mismas, dejarlo inaccesible y así posteriormente solicitar el pago de una cantidad para recuperar el acceso.
Sorprende porque esto acostumbra a ser la tónica habitual cuando hablamos de ransomwares. Sin embargo, en esta ocasión estamos hablando de Harak1r1, el pseudónimo en Internet del hacker que está llevando a cabo estas acciones desde la pasada semana.
El experto en seguridad Victor Gevers, que se encuentra buscando bases de datos MongoDB desprotegidas, ha sido el que ha dado la voz de alarma y el que en la actualidad está alertando con ayuda de otras personas a los propietarios de las bases de datos que carecen de una seguridad adecuada.
El investigador indica que muchas de las bases de datos se encuentran abiertas a posibles conexiones desde Internet haciendo uso de la cuenta de administración y sin hacer uso ningún tipo de contraseña. Esto provoca que la base de datos quede totalmente expuesta y sin ningún tipo de protección frente a posibles ataques.
Tal y como se puede observar en la imagen anterior, el investigador se ha encontrado con una instancia como esta:
{ "_id" : ObjectId("5859a0370b8e49f123fcc7da"), "mail" : "harak1r1@sigaint.org", "note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !" }
En ella se indica que se debe abonar 0,2 Bitcoins para que se proceda al desbloqueo de la información. También se facilita al usuario una dirección de un monedero en el que se realizará el ingreso de la cantidad mencionada con anterioridad.
Contenido cifrado o bien eliminado
El experto en seguridad se ha encontrado con dos situaciones muy distintas. En primer lugar, el contenido cifrado, dejando solo accesible la instancia citada con anterioridad. Es decir, un funcionamiento propio de un ransomware. La otra situación es que el contenido ha sido eliminado por el ciberdelincuente, agregando la instancia que aparece en la imagen anterior con la información relacionada con el pago.
La mayoría de las bases de datos afectadas pertenecen a grandes empresas. Según cuenta el experto en seguridad, la mayoría de las afectadas han conseguido recuperar la información recurriendo a copias de seguridad existentes.
Se han registrado 11 pagos
Siempre existe alguna excepción, sino no se realizarían este tipo de ataques. Según Blockchain.info, por el momento 11 usuarios han realizado el pago de 0,2 Bitcoins para a priori recuperar la información. Tal y como sucede con los ransomware, el pago de la cantidad no garantiza recuperar la información.
El problema es que las bases de datos MongoDB no están protegidas de forma correcta
A Victor Gevers no le sorprende que esto suceda. De nuevo, unas medidas de seguridad precarias propician este tipo de acciones por parte de ciberdelincuentes. El problema no sería tan alarmante si la base de datos no fuese accesible desde Internet. Pero teniendo en cuenta que el acceso remoto es posible, la peligrosidad se incrementa de forma exponencial. Por el momento se han contabilizado un total de 5.200, aunque no se descarta que este número sea mayor.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
