Pour gérer vos consentements :

Bases MongoDB rançonnées : l’infection se propage à vitesse grand V

Les prises d’otage de bases de données MongoDB se multiplient. Rappelons que, depuis la fin décembre, un assaillant ou un groupe de cybercriminels se faisant appeler Harak1r1 recherche les instances non sécurisées, en dérobe les données et réclame une rançon en Bitcoin pour restituer l’information. Selon les chercheurs en sécurité, et notamment Victor Gevers, le premier à avoir donné l’alerte sur cette menace, l’infection se répand rapidement. Harak1r1, qui remplace les bases de données laissées ouvertes par un fichier WARNING invitant à payer une rançon de 0,2 Bitcoin (180 euros env.), aurait infecté plus de 8600 bases MongoDB au dernier pointage, effectué par Niall Merrigan, un développeur .Net qui publie ses résultats sur Twitter. Parmi ces victimes, figurerait un organisme de santé de la région d’Atlanta, Emory Healthcare, selon l’éditeur MacKeeper. Si on se fie aux statistiques de Blockchain.info, 22 individus ou entreprises auraient payé leur rançon à Harak1r1.

Les copycat déboulent

Surtout, le petit commerce de Harak1r1 a suscité de nouvelles vocations. Même si le ratio de victimes s’acquittant de leur rançon est faible, la simplicité du piratage (il suffit d’exploiter une faille de sécurité grossière de MongoDB) a poussé plusieurs groupes de cybercriminels à se lancer sur ce nouveau créneau. L’un d’entre eux, qui se fait appeler own3d, demande 0,5 Bitcoin (via un fichier appelé WARNING_ALERT) pour restituer les données dérobées. Selon les derniers pointages, effectués par Victor Gevers, il aurait déjà fait 930 victimes. Un deuxième assaillant (0704341626asdf) opère selon le même principe (0,15 Bitcoin réclamé dans un fichier PWNED) et aurait déjà effacé les données de plus de 750 bases MongoDB. Quelques heures avant la rédaction de ces lignes, Niall Merrigan a repéré l’apparition d’un quatrième acteur malveillant (kraken0), ayant fait 13 victimes. Ce dernier groupe réclame une rançon de 1 Bitcoin.

« Ne payez pas la rançon »

Cet afflux de cybercriminels sur ce nouveau créneau pousse certains groupes à remplacer le fichier de leurs concurrents, comme le signale Victor Gevers, qui, sur Twitter, explique que own3d tente ainsi parfois de supplanter Harak1r1. Et le chercheur d’appeler les victimes à ne pas payer la rançon réclamée par les pirates : « Il n’existe aucune preuve qu’ils aient effectivement copié votre base de données. Faites venir un expert et vérifiez vos logs », exhorte le chercheur en sécurité.

Rappelons que les pirates recherchent d’anciennes versions de la base NoSQL où la configuration par défaut laisse la solution accessible à des connexions externes. Un bug évidemment corrigé depuis par l’éditeur de MongoDB, mais de nombreuses moutures défaillantes continuent à tourner sur le Cloud. Le problème de l’insécurité des bases MongoDB est d’ailleurs connu de longue date. Dès 2014, un chercheur en sécurité identifiait plus de 33 500 instances MongoDB comportant un port d’administration ouvert, parmi lesquelles près de 19 000 ne demandaient aucune authentification.

A lire aussi :

Après les ransomwares, les bases de données MongoDB prises en otage

Après les ransomwares, la prochaine menace est le ransomworm

Comment le ransomware est devenu le gagne-pain des cybercriminels

Un hacker tombe par hasard sur des bases MongoDB non protégées

Crédit photo : adike / shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

3 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

3 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

3 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

3 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

3 semaines ago