Um total de 12,564 bases de dados MongoDB inseguros ter sido excluído no curso de três semanas. A mensagem é deixada após a exclusão alertando os proprietários de bases de dados para entrar em contato com os hackers para ter os dados restaurados.
Milhares de bancos de dados MongoDB excluídos
Os invasores foram descobertos e relatados pelo pesquisador de segurança independente Sanyam Jain. O pesquisador acredita que o hacker(s) por trás dos ataques provavelmente está cobrando dinheiro em criptomoeda, e de acordo com a sensibilidade do banco de dados, a soma pode ser maior ou menor.
O pesquisador detectou os ataques pela primeira vez em abril 24, quando ele encontrou pela primeira vez um banco de dados MongoDB apagado que não continha as grandes quantidades usuais de dados vazados, mas sim a seguinte nota: “Restaurar ? Contato : unistellar@yandex.com”.
Em outras palavras, os hackers estavam deixando notas de resgate pedindo às vítimas que entrassem em contato com eles por e-mail, caso desejassem seus dados restaurados. Emails fornecidos incluídos unistellar@hotmail.com ou unistellar@yandex.com.
Uma vez que nenhum outro detalhe foi dado, como o valor exato do resgate, é muito provável que os hackers estejam abertos para negociar os termos de recuperação de dados.
Esta não é a primeira vez que bancos de dados MongoDB são atacados dessa forma. No 2017, finalmente 28,000 bancos de dados MongoDB configurados incorretamente foram vítimas de ataques de hackers. Os ataques foram possíveis porque os servidores estavam acessíveis via Internet. Os servidores comprometidos também estavam mal configurados ou sujeitos a explorações de vulnerabilidade (devido a falhas não corrigidas).
Então, no 2018 Os bancos de dados MongoDB corriam o risco do chamado MongoLock ransomware. Bob Diachenko - o pesquisador de segurança que primeiro descobriu a campanha maliciosa compartilhou que os invasores se conectariam a um banco de dados desprotegido e simplesmente o apagariam. Um novo banco de dados chamado “Warning” com uma coleção dentro dele chamado “Readme” seria deixado no lugar do banco de dados antigo. A coleção Leiame continha a mensagem de resgate que afirmava que o banco de dados havia sido criptografado e que as vítimas precisavam pagar pela restauração.
O ataque MongoLock também não pediu uma quantia específica de dinheiro e deixou endereços de e-mail para as vítimas entrarem em contato com seus operadores.