Um cibercriminoso se infiltrou em 22.900 bancos de dados MongoDB inseguros, excluiu seu conteúdo e deixou uma nota de resgate que solicita o pagamento em bitcoins em troca das informações. Se o resgate não for pago dentro de dois dias, o atacante ameaça notificar as autoridades responsáveis pelo Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
De acordo com o portal ZDNet, que divulgou o caso, o cibercriminoso está usando scripts automatizados para vasculhar a Internet em busca de instalações MongoDB expostas a Internet sem proteção por senha, excluindo seu conteúdo e pedindo 0,015 bitcoins (cerca de US$ 140) para devolver os dados.
O cibercriminoso foi até “atencioso” o suficiente para fornecer um guia sobre como comprar bitcoins. Aparentemente, o atacante está usando várias carteiras de bitcoins e endereços de e-mail. Se as condições não forem atendidas, os dados serão vazados e ele entrará em contato com os reguladores do GDPR.
Victor Gevers, pesquisador de segurança da GDI Foundation, disse ao portal que os primeiros ataques careciam da função de exclusão de dados. Depois que o atacante tomou conhecimento do erro em seu script, ele o modificou e começou a excluir os bancos de dados MongoDB. Houve casos de ataques usando essa nota de resgate em particular desde abril deste ano.
O pesquisador, cujas responsabilidades incluem relatar servidores expostos, afirmou que notou que os sistemas foram excluídos durante a verificação nos bancos de dados MongoDB que deveria reportar para que pudessem ser protegidos. “Hoje (01 de julho), só pude relatar um vazamento de dados. Normalmente, eu consigo relatar pelo menos 5 ou 10”, destacou Gevers ao portal ZDNet.
Embora o resgate exigido possa parecer uma quantia insignificante, multiplique-o pelo número de bancos de dados não seguros, ou seja, o cibercriminoso está tentando extorquir quase US$ 3,2 milhões no total. Embora muitas das entidades afetadas provavelmente não tenham cedido às solicitações do atacante, a ameaça de alertar as autoridades reguladoras do GDPR pode convencer a algumas a realizar o pagamento, já que o valor exigido é consideravelmente baixo em comparação com as enormes multas que podem ser aplicadas pelas autoridades reguladoras.
Bancos de dados não seguros e mal configurados dificilmente podem ser considerados uma ocorrência incomum. Em um exemplo notável, hackers éticos deixaram "avisos amigáveis" nos bancos de dados de armazenamento em nuvem expostos do Amazon S3.
Os ataques que envolveram infiltrações e o sequestro de informações armazenadas em bancos de dados em nuvem para exigir o pagamento de um resgate existem desde pelo menos 2016. Se você é um administrador de banco de dados MongoDB e prefere evitar tais tentativas de extorsão, confira este manual de segurança MongoDB.