Après les fichiers bureautiques pris en otage, les bases de données ? Un cybercriminel ou un groupe de cybercriminels connu sous le pseudonyme Harak1r1 s’attaque aux bases MongoDB non protégées, remplace les données qu’elles renferment et demande une rançon en bitcoin pour restituer l’information. Selon Bleeping Computer, cette attaque dure depuis au moins une semaine et cible des serveurs dans le monde entier.
Si le procédé s’apparente à celui rendu célèbre par les ransomwares – une prise en otage des données associée à une demande rançon -, l’attaque de Harak1r1 ne fait pas appel à un malware de ce type. En réalité, elle est bien plus basique et se contente d’exploiter une faille de sécurité grossière de MongoDB, mais malheureusement encore très répandue. « Ce n’est pas un ransomware. La base de données n’est pas chiffrée, mais simplement remplacée. Nous avons affaire à quelqu’un qui effectue cette opération manuellement ou via un simple script Python », explique Victor Gevers.
Selon les statistiques de Blockchain.info, au moins 16 organisations ou individus ont déjà payé le ou les pirates (à chaque fois 0,2 bitcoin). Un total encore faible au regard du potentiel de nuisance de cette attaque : selon un tweet de John Matherly, le fondateur de Shodan (un moteur de recherche de machines connectées), quelque 2 000 instances MongoDB seraient déjà infectées. Parmi les victimes, selon un chercheur de MacKeeper, Bob Diachenko, une organisation dans le domaine de la santé aux Etats-Unis, qui a perdu l’accès à 200 000 enregistrements.
« Les bases de données MongoDB les plus ouvertes et les plus vulnérables se trouvent sur AWS parce qu’il s’agit de la plateforme préférée des organisations voulant travailler en mode Devops. Environ 78 % de ces hôtes font tourner des versions vulnérables », détaille Victor Gevers. Dans le cas présent, les pirates recherchent d’anciennes versions de la base NoSQL où la configuration par défaut laisse la solution accessible à des connexions externes. Un bug évidemment corrigé depuis par l’éditeur de MongoDB, mais de nombreuses moutures défaillantes continuent à tourner sur le Cloud.
Le problème de l’insécurité des bases MongoDB est d’ailleurs connu de longue date. Dès 2014, un chercheur en sécurité identifiait plus de 33 500 instances MongoDB comportant un port d’administration ouvert, parmi lesquelles près de 19 000 ne demandaient aucune authentification. En 2015, dans un billet de blog, John Matherly avertissait des dangers des bases de données MongoDB non protégées, concluant que près de 600 To de données étaient ainsi exposées. Lors de ses dernières recherches, suite à la découverte des activités de Harak1r1, Victor Gevers est ainsi tombé sur une instance MongoDB non sécurisée, renfermant plus de 850 millions d’enregistrements d’appels de téléphones mobiles.
A lire aussi :
Après les ransomwares, la prochaine menace est le ransomworm
Comment le ransomware est devenu le gagne-pain des cybercriminels
Un hacker tombe par hasard sur des bases MongoDB non protégées
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…