Un cibercriminal se infiltró en 22.900 bases de datos MongoDB poco seguras, eliminó su contenido y dejó una nota de rescate indicando que exige un pago en bitcoins a cambio de los datos. Si el rescate no se paga dentro de dos días, el atacante amenaza con notificar a las autoridades a cargo de hacer cumplir el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la Unión Europea.
Según ZDNet, medio que dio a conocer la historia, el cibercriminal detrás de esta operación está utilizando scripts automáticos para buscar en Internet las instalaciones de MongoDB expuestas a Internet sin protección por contraseña, eliminando su contenido y solicitando el pago de 0.015 en bitcoins (equivalente unos US$140) para devolver los datos.
El cibercriminal fue incluso lo suficientemente "reflexivo" como para proporcionar una guía sobre cómo comprar bitcoins. Al parecer el atacante está usando múltiples billeteras de bitcoin y direcciones de correo electrónico, pero la redacción de la amenaza sigue siendo consistente. Si no se cumplen las condiciones, amenaza con filtrar los datos y contactar a los reguladores de GDPR.
Victor Gevers, un investigador de seguridad de la GDI Foundation, señaló al medio que los primeros ataques carecían de la función que eliminaba los datos. Una vez que el atacante se dio cuenta del error en su script, lo modificó y comenzó a borrar las bases de datos MongoDB. Se han registrado casos de ataques en los que se utiliza esta nota de rescate en particular desde abril de este año.
El investigador, cuyas responsabilidades incluyen informar sobre servidores expuestos, declaró que notó los sistemas borrados mientras revisaba bases de datos MongoDB que tenía programado reportar para que pudieran ser aseguradas. Según explicó Gevers a ZDNet, el 1 de julio solo pudo reportar una fuga de datos, cuando normalmente puede reportar al menos entre 5 o 10.
Si bien el rescate exigido puede parecer una suma insignificante, multiplíquelo por el número de bases de datos mal aseguradas y resulta que el actor malicioso está tratando de obtener casi US$ 3.2 millones en total. Aunque probablemente muchas de las entidades afectadas no ceda ante las demandas del atacante, la amenaza de alertar a las autoridades reguladoras del GDPR puede convencer a algunos a querer pagar, ya que el monto exigido es considerablemente bajo en comparación con las enormes multas que pueden imponer las autoridades reguladoras.
Bases de datos inseguras y mal configuradas difícilmente pueden considerarse algo poco común. De hecho, en el pasado hackers éticos dejaron "advertencias amistosas" en bases de datos Amazon S3 expuestas en la nube.
Los ataques que involucraron infiltraciones y el secuestro de la información almacenada en bases de datos en la nube para exigir el pago de un rescate han existido desde al menos 2016. Si usted es un administrador de una base de datos MongoDB que prefiere evitar tales intentos de extorsión, puede consultar este manual de seguridad de MongoDB o revisar nuestros cinco consejos generales para mantener sus bases de datos seguras.