Um ator malicioso vem explorando instâncias expostas do MongoDB por meio de ataques automatizados de extorsão, exigindo resgates baixos para restaurar os dados.
Esses ataques se aproveitam do chamado “low-hanging fruit”: bancos de dados inseguros por configurações incorretas, que permitem acesso irrestrito.
Cerca de 1.400 servidores vulneráveis já foram comprometidos, com as notas de resgate pedindo aproximadamente US$ 500 em Bitcoin.
Até 2021, uma série de ataques apagou milhares de bancos de dados, solicitando pagamento para recuperação dos dados.
Em alguns casos, os invasores simplesmente deletavam o conteúdo sem exigir qualquer valor.
Um estudo de pentesting realizado por pesquisadores da empresa de cibersegurança Flare identificou que esses ataques ainda ocorrem, embora em menor escala.
Os especialistas encontraram mais de 208,5 mil servidores MongoDB expostos publicamente.
Desses, 100 mil revelavam informações operacionais sensíveis e 3.100 permitiam acesso sem qualquer autenticação.
Quase metade (45,6%) desses servidores com acesso livre já haviam sido atacados quando a Flare os analisou.
Os bancos de dados tinham sido apagados, e uma nota de resgate deixada em seu lugar.
A análise dessas notas mostra que a maioria exige pagamento de 0,005 BTC em até 48 horas.
“Os atacantes pedem pagamento em Bitcoin (geralmente cerca de 0,005 BTC, o que hoje equivale a US$ 500 a US$ 600) para uma carteira específica, prometendo restaurar os dados”, afirma o relatório da Flare.
“No entanto, não há garantia de que os criminosos realmente possuam os dados ou forneçam a chave de decriptação após o pagamento.”
Foram identificados apenas cinco endereços de carteira distintos nas notas deixadas, sendo que um deles aparece em cerca de 98% dos casos, indicando que provavelmente um único ator está por trás desses ataques.
A Flare também ressalta que algumas instâncias expostas, embora vulneráveis, não parecem ter sido atacadas.
A hipótese é de que esses administradores já tenham pago o resgate exigido.
Além da falha na autenticação, os pesquisadores descobriram que quase metade (95 mil) dos servidores MongoDB expostos roda versões antigas, vulneráveis a falhas conhecidas como n-day.
Essas vulnerabilidades têm principalmente potencial para ataques de negação de serviço, não permitindo execução remota de código.
A recomendação da Flare para administradores de MongoDB é evitar expor instâncias publicamente, exceto quando estritamente necessário.
Deve-se aplicar autenticação forte, configurar regras de firewall e políticas de rede no Kubernetes para permitir conexões confiáveis, e evitar simplesmente copiar configurações padrão de guias de implantação.
O MongoDB deve estar sempre atualizado para a versão mais recente e ser monitorado continuamente para detectar exposições.
Caso a instância fique exposta, as credenciais devem ser alteradas imediatamente, e os logs revisados para identificar possíveis atividades não autorizadas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...