Pour gérer vos consentements :

Après les ransomwares, les bases de données MongoDB prises en otage

Après les fichiers bureautiques pris en otage, les bases de données ? Un cybercriminel ou un groupe de cybercriminels connu sous le pseudonyme Harak1r1 s’attaque aux bases MongoDB non protégées, remplace les données qu’elles renferment et demande une rançon en bitcoin pour restituer l’information. Selon Bleeping Computer, cette attaque dure depuis au moins une semaine et cible des serveurs dans le monde entier.

Cette nouvelle forme d’extorsion de fonds a été isolée par le chercheur en sécurité Victor Gevers. Le 27 décembre, ce dernier repère, dans le cadre de ses activités au sein de la GDI Foundation (une organisation à but non lucratif défendant un Internet ouvert et sûr), une base MongoDB dont l’accès est ouvert (pas de mot de passe sur le compte admin). Sauf que cette dernière ne renferme qu’une seule table (appelée Warning), au sein de laquelle Harak1r1 livre ses instructions pour récupérer les données qu’il a exfiltrées au préalable. Un scénario confirmé par les logs de la base de données. Dans le cas présent, selon Victor Gevers, l’entreprise victime a pu restaurer ses données sans payer de rançon, une sauvegarde ayant été effectuée juste avant les manipulations du ou des cybercriminels.

Plus basique qu’un ransomware

Si le procédé s’apparente à celui rendu célèbre par les ransomwares – une prise en otage des données associée à une demande rançon -, l’attaque de Harak1r1 ne fait pas appel à un malware de ce type. En réalité, elle est bien plus basique et se contente d’exploiter une faille de sécurité grossière de MongoDB, mais malheureusement encore très répandue. « Ce n’est pas un ransomware. La base de données n’est pas chiffrée, mais simplement remplacée. Nous avons affaire à quelqu’un qui effectue cette opération manuellement ou via un simple script Python », explique Victor Gevers.

Selon les statistiques de Blockchain.info, au moins 16 organisations ou individus ont déjà payé le ou les pirates (à chaque fois 0,2 bitcoin). Un total encore faible au regard du potentiel de nuisance de cette attaque : selon un tweet de John Matherly, le fondateur de Shodan (un moteur de recherche de machines connectées), quelque 2 000 instances MongoDB seraient déjà infectées. Parmi les victimes, selon un chercheur de MacKeeper, Bob Diachenko, une organisation dans le domaine de la santé aux Etats-Unis, qui a perdu l’accès à 200 000 enregistrements.

MongoDB : des alertes dès 2014

« Les bases de données MongoDB les plus ouvertes et les plus vulnérables se trouvent sur AWS parce qu’il s’agit de la plateforme préférée des organisations voulant travailler en mode Devops. Environ 78 % de ces hôtes font tourner des versions vulnérables », détaille Victor Gevers. Dans le cas présent, les pirates recherchent d’anciennes versions de la base NoSQL où la configuration par défaut laisse la solution accessible à des connexions externes. Un bug évidemment corrigé depuis par l’éditeur de MongoDB, mais de nombreuses moutures défaillantes continuent à tourner sur le Cloud.

Le problème de l’insécurité des bases MongoDB est d’ailleurs connu de longue date. Dès 2014, un chercheur en sécurité identifiait plus de 33 500 instances MongoDB comportant un port d’administration ouvert, parmi lesquelles près de 19 000 ne demandaient aucune authentification. En 2015, dans un billet de blog, John Matherly avertissait des dangers des bases de données MongoDB non protégées, concluant que près de 600 To de données étaient ainsi exposées. Lors de ses dernières recherches, suite à la découverte des activités de Harak1r1, Victor Gevers est ainsi tombé sur une instance MongoDB non sécurisée, renfermant plus de 850 millions d’enregistrements d’appels de téléphones mobiles.

A lire aussi :

Après les ransomwares, la prochaine menace est le ransomworm

Comment le ransomware est devenu le gagne-pain des cybercriminels

Un hacker tombe par hasard sur des bases MongoDB non protégées

crédit photo © Imilian / Shutterstock.com

Recent Posts

Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains…

12 heures ago

Open Source : la Fondation Linux veut normaliser l’accès aux DPU

L’effort porte sur la standardisation de la pile logicielle prenant en charge les processeurs de…

14 heures ago

vSphere+ : qu’y a-t-il dans la vitrine multicloud de VMware ?

VMware a structuré une offre commerciale favorisant l'accès à des capacités cloud à travers vCenter.…

15 heures ago

Le PEPR cybersécurité prend forme : les choses à savoir

Le PEPR rattaché à la stratégie nationale de cybersécurité a connu une forme d'officialisation la…

19 heures ago

ESN : Numeum s’étoffe et précise ses priorités

Numeum, qui réprésente les ESN et éditeurs de logiciels en France, a précisé sa feuille…

2 jours ago

HPE Discover 2022 : Red Hat rejoint l’écosystème GreenLake

OpenShift, RHEL, Ansible... Red Hat va proposer une version sur site avec paiement à l'usage…

2 jours ago