A cybercriminal infiltrated 22.900 insecure MongoDB databases, deleted their content and left a ransom note stating that they demand payment in bitcoins in exchange for the data. Likewise, threatens that if the ransom is not paid within two days, they will notify the authorities responsible for enforcing the European Union General Data Protection Regulation.
The cybercriminal behind this operation is using automated scripts to search the Internet for MongoDB installations exposed to the Internet without password protection, deleting their content and requesting payment of 0.015 in bitcoins (equivalent to about US$140) to return the data.
The attacker leaves a guide on how to buy bitcoins. Al parecer el atacante está usando múltiples billeteras de bitcoin y direcciones de correo electrónico, pero la redacción de la amenaza sigue siendo consistente. Si no se cumplen las condiciones, amenaza con filtrar los datos y contactar a los reguladores de GDPR.
Un investigador que revisó todos los casos informó que los primeros ataques carecían de la función que eliminaba los datos. Una vez que el atacante se dio cuenta del error en su script, lo modificó y comenzó a borrar las bases de datos MongoDB.
The researcher, cuyas responsabilidades incluyen informar sobre servidores expuestos, declaró que notó los sistemas borrados mientras revisaba bases de datos MongoDB que tenía programado reportar para que pudieran ser aseguradas. Según explicó, the 1 de julio solo pudo reportar una fuga de datos, cuando normalmente puede reportar al menos entre 5 or 10.
Si bien el rescate exigido puede parecer una suma insignificante, multiplíquelo por el número de bases de datos mal aseguradas y resulta que el actor malicioso está tratando de obtener casi US$ 3.2 millones en total. Aunque probablemente muchas de las entidades afectadas no ceda ante las demandas del atacante, la amenaza de alertar a las autoridades reguladoras del GDPR puede convencer a algunos a querer pagar, ya que el monto exigido es considerablemente bajo en comparación con las enormes multas que pueden imponer las autoridades reguladoras.
Bases de datos inseguras y mal configuradas difícilmente pueden considerarse algo poco común. In fact, en el pasado hackers éticos dejaron “friendly warnings” in Amazon S3 databases exposed in the cloud.