Un cibercriminal se infiltró en 22.900 bases de datos MongoDB poco seguras, eliminó su contenido y dejó una nota de rescate indicando que exige un pago en bitcoins a cambio de los datos. Likewise, amenaza con que si no se paga el rescate en dos días, avisará a las autoridades a cargo de hacer cumplir el Reglamento General de Protección de Datos de la Unión Europea.
El cibercriminal detrás de esta operación está utilizando scripts automáticos para buscar en Internet las instalaciones de MongoDB expuestas a Internet sin protección por contraseña, eliminando su contenido y solicitando el pago de 0.015 en bitcoins (equivalente unos US$140) para devolver los datos.
El atacante deja una guía sobre cómo comprar bitcoins. Al parecer el atacante está usando múltiples billeteras de bitcoin y direcciones de correo electrónico, pero la redacción de la amenaza sigue siendo consistente. Si no se cumplen las condiciones, amenaza con filtrar los datos y contactar a los reguladores de GDPR.
Un investigador que revisó todos los casos informó que los primeros ataques carecían de la función que eliminaba los datos. Una vez que el atacante se dio cuenta del error en su script, lo modificó y comenzó a borrar las bases de datos MongoDB.
The researcher, cuyas responsabilidades incluyen informar sobre servidores expuestos, declaró que notó los sistemas borrados mientras revisaba bases de datos MongoDB que tenía programado reportar para que pudieran ser aseguradas. Según explicó, the 1 de julio solo pudo reportar una fuga de datos, cuando normalmente puede reportar al menos entre 5 or 10.
Si bien el rescate exigido puede parecer una suma insignificante, multiplíquelo por el número de bases de datos mal aseguradas y resulta que el actor malicioso está tratando de obtener casi US$ 3.2 millones en total. Aunque probablemente muchas de las entidades afectadas no ceda ante las demandas del atacante, la amenaza de alertar a las autoridades reguladoras del GDPR puede convencer a algunos a querer pagar, ya que el monto exigido es considerablemente bajo en comparación con las enormes multas que pueden imponer las autoridades reguladoras.
Bases de datos inseguras y mal configuradas difícilmente pueden considerarse algo poco común. In fact, en el pasado hackers éticos dejaron “advertencias amistosas” en bases de datos Amazon S3 expuestas en la nube.