Alguien con el apodo de Harak1r1 ha estado atacando bases de datos desprotegidas de MongoDB, robando y reemplazando su contenido y además, pidiendo rescate a los afectados para así poder recuperar sus datos. Los ataques parecen haber estado ocurriendo por más de una semana y se sabe que servidores en todo el mundo han sido vulnerados.
Quien primero notó el ataque fue el investigador en seguridad Víctor Gevers, quien es parte del Proyecto 366 junto con la Fundación GDI, quien ha estado ocupado investigando los servidores de MongoDB no protegidos y además, alertando a las compañías sobre esta problemática. El atacante está pidiendo 0.2 Bitcoins para que los afectados recuperen sus datos. Eso es equivalente actualmente a 200 dólares. Un Bitcoin se valúa en 1000 dólares, aproximadamente.
Cuando Gevers accedió a un servidor abierto, en lugar de ver los contenidos de las bases de datos, que son una colección de tablas, encontró una sola tabla llamada “WARNING” que decía lo siguiente:
{
“_id” : ObjectId(“5859a0370b8e49f123fcc7da”),
“mail” : “[email protected]”,
“note” : “SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !”
}
De acuerdo con Gevers, el atacante tuvo acceso a la base de datos no protegida de MongoDB, exportó sus contenidos y reemplazó todos los datos con la tabla mostrada. “Fui capaz de confirmar esto, porque los archivos de la bitácora del sistema mostraron claramente la fecha en la que se exportaron los datos y que se reemplazaron por el archivo de “WARNING”. Gevers agrega: “Todas las acciones de los servidores de bases de datos se reportan en archivos específicos para ello”. Digamos que son algo así como el equivalente a las “cajas negras” de los aviones, que de hecho no son negras, sino de un color chillante para que sea fácil localizarlas.
Una posibilidad para evitar pagar cualquier rescate de datos es respaldar diariamente la información sensible. Esto fue lo que hizo la empresa afectada que halló Gevers, por lo cual el chantaje de Harak1r1 no funcionó en este caso. Sin embargo, se sabe de incidentes similares, los cuales -aparentemente- ocurrieron todos la semana pasada y se sospecha que fue una operación masiva de Harak1r1.
“No se trata de archivos encriptados. Las bases de datos atacadas no se encriptan, sino que solamente se reemplazan”, dice Gevers. Y como muchas de ellas trabajan en ambientes Unix, cuando se borra una base de datos, el espacio en disco puede ser inmediatamente ocupado por otros datos o alguna aplicación y no como ocurre en sistemas con Windows, donde lo único que se borra es el nombre del archivo del directorio (y los enlaces a los tracks y sectores del disco), pero que si estos tracks no se tocan, en principio puede recuperarse la información. Así entonces, como aclara Gevers, “esto es fácil de hacer con un script en Python”.
Gevers indica que sus descubrimientos los publicó en Twitter y a partir de ello ha recibido consultas de algunas compañías que parecen haber sido atacadas por Harak1r1. “Después de tuitear esto, me llegaron dos peticiones para ayudar a organizaciones que pagaron para tener sus datos de regreso y asegurarse que no vuelvan a ser hackeados”, dijo Gevers.
Gevers, especialista en seguridad dice que “los sistemas más abiertos y vulnerables, como MongoDB pueden hallarse en la plataforma AWS (la nube de Amazon), porque es el sitio favorito de las organizaciones para cierto tipo de desarrollos“. Y agrega “cerca del 78% de todos estos hosts corren versiones con vulnerabilidades conocidas”. Los creadores de MongoDB han corregido muchas vulnerabilidades pero la mayoría de las compañías sigue usando versiones obsoletas.
Hoy se sabe que 1,800 bases de datos fueron atacadas y 11 víctimas pagaron el rescate (2400 dólares de ganancia para Harak1r1. Este problema, sin embargo, no es nuevo. El año pasado hubo ataques a los servidores Redis, quienes fueron infectados con el ransomware Fairware.
Referencias: Bleeping Computer