Bases MongoDB rançonnées : l’infection se propage à vitesse grand V
Profitant de bases de données MongoDB librement accessibles sur le Net, des pirates rançonnent les utilisateurs. Plus de 10 000 bases MongoDB ont déjà été touchées ! Et la facilité de la technique suscite les vocations.
Les prises d’otage de bases de données MongoDB se multiplient. Rappelons que, depuis la fin décembre, un assaillant ou un groupe de cybercriminels se faisant appeler Harak1r1 recherche les instances non sécurisées, en dérobe les données et réclame une rançon en Bitcoin pour restituer l’information. Selon les chercheurs en sécurité, et notamment Victor Gevers, le premier à avoir donné l’alerte sur cette menace, l’infection se répand rapidement. Harak1r1, qui remplace les bases de données laissées ouvertes par un fichier WARNING invitant à payer une rançon de 0,2 Bitcoin (180 euros env.), aurait infecté plus de 8600 bases MongoDB au dernier pointage, effectué par Niall Merrigan, un développeur .Net qui publie ses résultats sur Twitter. Parmi ces victimes, figurerait un organisme de santé de la région d’Atlanta, Emory Healthcare, selon l’éditeur MacKeeper. Si on se fie aux statistiques de Blockchain.info, 22 individus ou entreprises auraient payé leur rançon à Harak1r1.
Les copycat déboulent
Surtout, le petit commerce de Harak1r1 a suscité de nouvelles vocations. Même si le ratio de victimes s’acquittant de leur rançon est faible, la simplicité du piratage (il suffit d’exploiter une faille de sécurité grossière de MongoDB) a poussé plusieurs groupes de cybercriminels à se lancer sur ce nouveau créneau. L’un d’entre eux, qui se fait appeler own3d, demande 0,5 Bitcoin (via un fichier appelé WARNING_ALERT) pour restituer les données dérobées. Selon les derniers pointages, effectués par Victor Gevers, il aurait déjà fait 930 victimes. Un deuxième assaillant (0704341626asdf) opère selon le même principe (0,15 Bitcoin réclamé dans un fichier PWNED) et aurait déjà effacé les données de plus de 750 bases MongoDB. Quelques heures avant la rédaction de ces lignes, Niall Merrigan a repéré l’apparition d’un quatrième acteur malveillant (kraken0), ayant fait 13 victimes. Ce dernier groupe réclame une rançon de 1 Bitcoin.
« Ne payez pas la rançon »
Cet afflux de cybercriminels sur ce nouveau créneau pousse certains groupes à remplacer le fichier de leurs concurrents, comme le signale Victor Gevers, qui, sur Twitter, explique que own3d tente ainsi parfois de supplanter Harak1r1. Et le chercheur d’appeler les victimes à ne pas payer la rançon réclamée par les pirates : « Il n’existe aucune preuve qu’ils aient effectivement copié votre base de données. Faites venir un expert et vérifiez vos logs », exhorte le chercheur en sécurité.
Rappelons que les pirates recherchent d’anciennes versions de la base NoSQL où la configuration par défaut laisse la solution accessible à des connexions externes. Un bug évidemment corrigé depuis par l’éditeur de MongoDB, mais de nombreuses moutures défaillantes continuent à tourner sur le Cloud. Le problème de l’insécurité des bases MongoDB est d’ailleurs connu de longue date. Dès 2014, un chercheur en sécurité identifiait plus de 33 500 instances MongoDB comportant un port d’administration ouvert, parmi lesquelles près de 19 000 ne demandaient aucune authentification.
A lire aussi :
Après les ransomwares, les bases de données MongoDB prises en otage
Après les ransomwares, la prochaine menace est le ransomworm
Comment le ransomware est devenu le gagne-pain des cybercriminels
Un hacker tombe par hasard sur des bases MongoDB non protégées
