Seguridad

Se suceden los ataques contra bases de datos MongoDB y MySQL

Los ataques DDoS aumentan un 138%, según un informe de Akamai
Escrito por Marcos Merino

Los ataques de robo de datos y petición de rescate han afectado desde enero a 41.000 bases MongoDB, y ahora empiezan a sufrirlos las MySQL.

A comienzos de este año, los expertos advirtieron un repentino aumento del número de ataques contra bases de datos MongoDB, tras los que los cibercriminales exigían el rescate de los datos. Concretamente, fue Victor Gevers (de la GDI Foundation) quien descubrió lo que estaba sucediendo y pudo seguirle el rastro a un hacker llamado Harak1r1 que estaba llevando a cabo ataques contra servidores por todo el mundo, accediendo sistemas MongoDB poco protegidos para exportar su contenido y reemplazarlo por una demanda de rescate: 02 BTC (220 $) a cambio de restaurar todos los datos (cosa que no siempre ocurría).

Al contrario de los ataques de ransomware, los de Harak1r1 no requirieron de malware avanzado ni de ninguna técnica de pishing para tener éxito: bastó con aprovechar la vulnerabilidad de sistemas de hosting con la configuración por defecto. Ahora, tras haberse contabilizado 41.000 servidores MongoDB afectados, están empezando a sucederse ataques con el mismo modus operandi, pero en esta ocasión contra bases de datos SQL. Por desgracia, encontrar bases de datos MySQL online y adivinar sus datos de acceso mediante ataques de fuerza bruta es algo relativamente sencillo.

Esta nueva tanda de ataques comenzó durante la medianoche del 12 de febrero, cuando la empresa de ciberseguridad GuardiCore pudo observar cientos de ellos en las 30 horas siguientes, todos ellos lanzados desde la misma dirección IP (probablemente un servidor de correo vulnerable), y fueron recibidos por la compañía de hosting neerlandesa worldstream.nl. Curiosamente, los ataques no respondieron a un patrón constante, por lo que resulta difícil atribuirlos a un único grupo, pese al origen común.

Para saber si tu base de datos ha sido víctima de uno de estos ataques, comprueba si el mensaje de rescate coincide con alguna de las dos identificadas hasta ahora por los expertos:

INSERT INTO PLEASE_READ.`WARNING`(id, warning, Bitcoin_Address, Email) VALUES(‘1′,’Send 0.2 BTC to this address and contact this email with your ip or db_name of your server to recover your database! Your DB is Backed up to our servers!’, ‘1ET9NHZEXXQ34qSP46vKg8mrWgT89cfZoY’, ‘backupservice@mail2tor.com’)

y

INSERT INTO `WARNING`(id, warning)
VALUES(1, ‘SEND 0.2 BTC TO THIS ADDRESS 1Kg9nGFdAoZWmrn1qPMZstam3CXLgcxPA9 AND GO TO THIS SITE http://sognd75g4isasu2v.onion/ TO RECOVER YOUR DATABASE! SQL DUMP WILL BE AVAILABLE AFTER PAYMENT! To access this site you have use the tor browser https://www.torproject.org/projects/torbrowser.html.en’)

Según el informe publicado por GuardiCore, “todo servidor MySQL expuesto a Internet es susceptible de sufrir este ataque, por lo que [los administradores] deben asegurarse de que sus estén debidamente protegidos requiriendo autenticación y usando contraseñas fuertes”.

Vía | Bleeping Computer & Security Affairs

Sobre el autor de este artículo

Marcos Merino

Marcos Merino es redactor freelance y consultor de marketing 2.0. Autodidacta, con experiencia en medios (prensa escrita y radio), y responsable de comunicación online en organizaciones sin ánimo de lucro.