Ataques Ransomware: MongoDB

Los problemas de escalabilidad siempre han sido una preocupación para quienes cuentan con manejadores comunes de base de datos SQL, y esta preocupación se incrementó en recientes años con el boom del BigData. Es así como nacen las alternativas NoSQL, con foco en rendimiento, eficiencia y coherencia en la búsqueda e indexación de datos.

Entre las alternativas NoSQL se encuentra MongoDB, que es un sistema para el manejo de datos popular por su versatilidad y simplicidad, desarrollado bajo el concepto de código abierto es una de las más utilizadas (con más de 20 millones de descargas).

Durante la última semana hemos observado un importante número de amenazas de Ransomware direccionadas a MongoDB, comprometiendo alrededor de 26 mil bases de datos, con vectores de ataque común: correos de origen malicioso y servicios expuestos hacia Internet.

mongodb-ransomware-2.jpg

El ataque, conocido por muchos como MongoDB Apocalypse, también tiene la característica de utilizar mecanismos automatizados para escanear BD que se encuentren expuestas en Internet, localizando máquinas vulnerables y borrando su contenido, lo cual resulta en una muy probable pérdida de la información.

En Enero de este mismo año, hubo una oleada de ataques similar y los investigadores manejaron la hipótesis que habrían sido exitosos gracias a que muchas de las BD comprometidos no contaban con una clave de acceso.

Este ataque tiene potencialidad para extenderse a otros servidores con BD como Elastic, Hadoop, CouchDB, Cassandra y MySQL.

En este sentido, les presentamos algunos de los Indicadores de Compromiso (IoC) más destacados durante la semana pasada:

Tabla-MongoDB

Como siempre, les compartimos nuestras recomendaciones ante este tipo de ataques:

  1. Adopte medidas de contingencia, como realizar respaldos de sus BD de forma periódica.
  2. Verifique sus configuraciones de seguridad.
  3. No exponga servicios/BD no necesarios hacia Internet.
  4. No pague el rescate.
  5. Contacte con un aliado tecnológico que pueda proveerle de herramientas, estrategias y contramedidas ante este tipo de ataques.

Si desea mayor información, los investigadores han puesto a disposición la siguiente tabla MongoDB Ransacking que recopila IoC con información de las víctimas, rescates, direcciones BTC, direcciones IP y correo electrónico utilizados por los atacantes.

Por su parte, MongoDB ha publicado en su sitio web algunas recomendaciones para evitar ataques de este tipo.

En ADV Integradores y consultores estamos a su disposición para apoyarlos con la estrategia de ciberseguridad que permita hacer frente a las amenazas en dispositivos moviles, que es y será el principal reto a resolver por todos los que tenemos como responsabilidad mejorar la postura de seguridad de las organizaciones.

Fuentes:
Informe S21 Sec
Sitio Web MongoDB
Sitio Web https://sensorstechforum.com/
Sitio Web https://www.redeszone.net/
Sitio Web https://es.cointelegraph.com/, comentarios propios del autor.

Ing. O. J. Alvarado
GSEC, ISO27001LA, CEH
ADV Integradores y consultores
ingenieria@adv-ic.com | www.adv-ic.com | @adv_ic  | Linkedin: ADV Integradores y consultores | Facebook: ADV Integradores y consultores

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s