Pour gérer vos consentements :

Epidémie pour MongoDB : 28 000 serveurs pris en otage

Déjà en nette expansion la semaine dernière, l’infection touchant les bases de données MongoDB laissées librement accessibles sur Internet tourne à l’épidémie. Alors que les deux chercheurs suivant cette attaque, Victor Gevers et Niall Merrigan, recensaient un peu plus de 10 000 serveurs pris en otage vendredi, le total dépasse désormais les 28 300. Cette soudaine inflation est en grande partie due à l’entrée d’une scène d’un groupe de cybercriminels spécialistes des ransomwares, Kraken. Ce dernier, responsable à lui seul de 16 000 infections, serait entré en lice vendredi dernier, après avoir probablement pris conscience de la simplicité d’exploitation de ce nouveau filon. Selon les éléments recensés par Victor Gevers et Niall Merrigan dans un tableau récapitulant les données relatives à la quinzaine de groupes impliqués dans des attaques de ce type, Kraken aurait déjà convaincu 67 organisations de lui verser une rançon de 0,1 Bitcoin (86 euros environ) ou, dans certains cas, de 1 Bitcoin.

Rappelons que l’attaque ne consiste pas à déployer un ransomware, mais exploite la (très discutable) configuration par défaut des bases MongoDB, au sein duquel l’accès n’est pas protégé par une authentification. Lorsque que ces bases sont librement accessibles sur Internet, les pirates se contentent d’exporter le contenu des bases non sécurisées, d’effacer les données du réceptacle originel et d’y déposer un fichier comportant les informations poussant à la victime à payer une rançon (entre 0,1 et 1 Bitcoin) afin de retrouver ses données. Notons que MongoDB a publié un billet de blog expliquant comment paramétrer sa solution pour éviter ce type de mésaventure.

Un défaut connu de longue date

Victor Gevers et Niall Merrigan signalent que certains groupes de cybercriminels se contentent d’effacer les données, sans les télécharger au préalable, rendant toute récupération de l’information illusoire pour les victimes. Selon Victor Gevers, 12 organisations ayant versé une rançon à Kraken n’ont pour l’instant obtenu aucune réponse du groupe de cybercriminels. Les deux chercheurs notent également que certains acteurs malveillants en concurrence sur ce segment n’hésitent pas à remplacer les fichiers de demande de rançon d’autres groupes de hackers. La conséquence ? Les victimes peuvent se retrouver à verser des bitcoins à des individus qui, de toute façon, ne détiennent pas leurs données.

L’attaque a démarré autour de Noël, d’abord avec un seul groupe de cybercriminels impliqué (Harak1r1). Le problème de l’insécurité des bases MongoDB est connu de longue date. Dès 2014, un chercheur en sécurité identifiait plus de 33 500 instances MongoDB comportant un port d’administration ouvert, parmi lesquelles près de 19 000 ne demandaient aucune authentification. En 2015, dans un billet de blog, John Matherly, le fondateur de Shodan (un moteur de recherche de machines connectées), avertissait des dangers des bases de données MongoDB non protégées, concluant que près de 600 To de données étaient ainsi exposées. Dimanche, Niall Merrigan expliquait, dans un tweet, que 93 To avaient déjà été pris en otage.

A lire aussi :

Après les ransomwares, la prochaine menace est le ransomworm

Comment le ransomware est devenu le gagne-pain des cybercriminels

Un hacker tombe par hasard sur des bases MongoDB non protégées

Crédit Photo : Andrey Armyagov-Shutterstock

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago