Los recientes ataques contra instalaciones inseguras de MongoDB, Hadoop y CouchDB representan una nueva fase en la extorsión en línea, que nace de las raíces del ransomware con la promesa de convertirse en una amenaza mayor en años venideros.
“Este tipo de ataques han crecido desde el robo automatizado y se han sistematizado a gran escala dirigiéndose a servidores mal configurados que contienen datos sensibles que pueden ser secuestrados fácilmente”, dijo Zohar Alon, co-fundador y CEO de la firma de seguridad Dome9.
El primero fue descubierto el 27 de diciembre por Victor Gevers, un hacker ético y fundador de GDI Foundation; los ataques en los últimos dos meses se dispararon desde 200 a cerca de 50,000. El primero de estos ataques de rescate en bases de datos inseguras se remonta a un hacker identificado como Harak1r1, que Gevers dijo era responsable de poner en peligro las instalaciones abiertas de MongoDB, la eliminación de su contenido, y dejando tras de sí una nota de rescate exigiendo 0,2 BTC (alrededor de $220 dólares en el momento).
Después de eso, la escalada de ataques contra instalaciones abiertas MongoDB pasó rápido, saltando de centenares de una semana, a 2,000 el siguiente, y 10,000 en la semana siguiente. En el último recuento más de 56,000 bases de datos abiertas de MongoDB solo fueron vulneradas por el ataque, según cifras más recientes disponibles de GDI Foundation. Pero eso no incluye las nuevas bases de datos que ya son blanco de los cibercriminales.
Los investigadores de seguridad en Rapid7 estimaron que 50% de los 56,000 servidores MongoDB vulnerables han sido rescatados. Cuando se trata de bases de datos similares mal configuradas, 58% de los 18,000 servidores vulnerables de Elasticsearch han sido rescatados y de los 4,500 servidores vulnerables de CouchDB, solo 10% han sido rescatados.
“Se trata de la vía de menor resistencia para los atacantes interesados ??en una potencial recompensa”, dijo Bob Rudis, director de seguridad de datos en Rapid7. “Ellos han decidido que es más fácil poner fin a ejecutar varios millones de sistema de una empresa de seguridad en dólares, en lugar de simplemente apuntar a un servidor abierto”.
Las bases de datos abiertas son escaneadas
Rudis y otros expertos dicen que los cibercriminales han adoptado técnicas similares a los que están detrás de Mirai, que utiliza herramientas de análisis tales como Shodan, Thingful o Censys para encontrar dispositivos abiertos o que tienen credenciales débiles para atacar. Esta vez, en lugar de buscar DVR o circuitos cerrados de televisión débiles o sin credenciales, los objetivos son los servidores en los que está en juego y las ganancias potenciales son mucho más altas, de acuerdo con Rubis.
“Hemos advertido durante años sobre las bases de datos de MongoDB abiertas y otras”, dijo Rudis. “Pero las advertencias parecen haber estado en una caja de resonancia. Pocos han prestado atención a las advertencias de la comunidad de seguridad”.
Alon de Dome9 explica que su compañía estima que los ciberdelincuentes ya han hecho millones secuestros de datos, con mayores daños por venir”. Los criminales usan técnicas precisas. A prueba de la agua”, agregó.
En un ataque típico de ransomware, un atacante compromete a una computadora a través de un malware o troyano y cifra los datos locales que solo se puede desbloquear con una clave de cifrado obtenida por un precio. Eso estimuló la maduración del ransomware más sofisticado utilizado en contra de la asistencia sanitaria, el gobierno y los objetivos educativos con el phishing, malware y técnicas de troyanos. Ambas tendencias están lejos de haber disminuido. Sin embargo, según los expertos, ambos han actuado como los peldaños hacia este tipo de secuestro de datos.
Copiar. Borrar. Rescate.
Con el secuestro de datos, los atacantes ponen en peligro las instalaciones de bases de datos inseguras, ellos copian datos y, a continuación, eliminan el contenido dejando tras de sí una nota de rescate en forma de un nombre de directorio, exigiendo un pagó de rescate a través de Bitcoins. En algunos casos, los datos secuestrados son simplemente destruidos y cualquier persona que paga el rescate no obtiene sus datos de nuevo.
Para complicar aún más las cosas, los atacantes también parecen estar luchando entre sí. En algunos casos después de que un ciberdelincuente deja una nota de rescate, otro se dirige a la misma base de datos, elimina la nota de rescate original y deja la propia.
Los expertos dicen que existe el peligro de subestimar el secuestro de datos. El genio de los ataques es su simplicidad, dicen los expertos. Los datos secuestrados por troyanos y la criptografía se compensan en la automatización y escaneo de la Internet para los sistemas vulnerables.
“Los escaneos continuos y automatización de secuencias de comandos de ataque han permitido a los ciberdelincuentes escalar este tipo de ataques de sólo cientos a decenas de miles muy rápidamente”, dijo Lawrence Abrams.
Eso ha ayudado a los delincuentes a evolucionar a partir de MongoDB para encontrar una mayor variedad de objetivos, explicó Abrams. Mencionó que hay demasiados dispositivos abiertos por ahí y hasta no mejorar su seguridad los escaneo automatizados y los ataques basados ??en scripts seguirán.
Fuente:https://www.seguridad.unam.mx/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
