Des milliers de bases de données MongoDB attaquées par des ransomwares

Vous avez besoin de clarifications à propos des dommages que peuvent réellement causer une attaque par ransomwares ? Le meilleur exemple est celui de MongoDB.

Début janvier, il a été découvert que des bases de données MongoDB non sécurisées avaient été la cible d’un cybercriminel qui demandait 0.2BTC de rançon (220$) pour pouvoir récupérer les données qu’il avait prises en otage.

Le hacker, qui utilise en ligne le Handle Harak1r1, a ciblé plusieurs serveurs à travers le monde, a déclaré Victor Gevers, spécialisé dans les tests de pénétration, et qui s’est rendu compte de l’existence de ces attaques lorsqu’il a signalé les installations exposées à leurs propriétaires.

Il a aussi alerté des admins sur Twitter, au sujet du cybercriminel en question, qui jusqu’à maintenant semble avoir déjà reçu 16 versements de 0.2BTC via le portefeuille Bitcoin, et ce après avoir eu accès à des bases de données MongoDB non sécurisées, exporté le contenu et remplacé les données par une demande de rançon.

Gevers, depuis la GDI Foundation basée aux Pays-Bas, a suivi les activités avec Niall Merrigan, un développeur norvégien. Ils ont signalé qu’il s’agissait des anciennes infrastructures MongoDB, déployées via les services d’hébergement Cloud, pour la plupart sur la plateforme AWS avec une configuration par défaut, qui étaient les cibles privilégiées de ces attaques.

Ericka Chickowski, rédactrice chez Dark Reading a noté dans son rapport que ces attaques montraient à quel point les “bads guys” diversifiaient leurs tactiques d’attaques par ransomwares. Elle a écrit :

Les attaques actuelles contre MongoDB recherchent des installations connectées à Internet sans un mot de passe administrateur bien défini. Les “bad guys” prennent alors le contrôle des comptes, uploadent les données sur les bases de données, suppriment ces données et les remplacent par une demande de rançon. Contrairement aux attaques par ransomwares, ces dernières ne nécessitent aucun malware sophistiqué ou une technique d’hameçonnage particulière : ils profitent simplement des systèmes mal configurés.

La spirale infernale

Mardi dernier, les nouvelles ont continué à s’aggraver pour les utilisateurs de MongoDB. Merrigan a noté une montée massive des attaques lundi, avec le nombre de serveurs compromis doublant en une seule journée. En s’appuyant sur les informations de Merrigan, Jeremy Kirk, le rédacteur en chef de Information Security Media Group (ISMG), a écrit :

Début janvier, environ 12 000 serveurs MongoDB avaient été compromis … Plus tard ce jour-là, le chiffre a grimpé à 28 000. Le nombre total de données pris en otage pourrait atteindre les 93 téraoctets. Les entreprises concernées reçoivent un avertissement leur demandant de payer une rançon en bitcoin, la monnaie virtuelle. Les hackers suppriment généralement la base de données et laissent une demande de rançon à la place. Récemment, les ransomwares que l’on a pu voir ont demandé des quantités de bitcoins allant de 200 $ à 1000 $.

Kirk a noté que selon une synthèse que Gevers et Merrigan ont réalisé, 20 victimes ont payé les rançons jusqu’à présent, mais n’ont pas obtenu leurs données en retour.

Le nombre de victimes potentielles dans une attaque comme celle-ci est important. En effet, MongoDB est devenu extrêmement populaire ces dernières années parce qu’ils utilisent un schéma qui est beaucoup plus flexible que les autres. Le système de classement de DB-engines.com l’a classé comme le quatrième système de gestion de base de données (SGBD) le plus populaire, et la plus populaire base de données de type NoSQL SGBD.

“MongoDB est l’écosystème de bases de données qui connaît la croissance la plus rapide, avec plus de 20 millions de téléchargements, des milliers de clients et plus de 1 000 partenaires technologiques et de services”, déclare DB-engines.com sur son site.

Les experts en sécurité déclarent qu’il est difficile de dire à ce stade combien d’entités ont leurs données retenues  en otage par Harak1r1. Les victimes qui ont leurs données sauvegardées peuvent dire au hacker d’aller voir ailleurs ! Néanmoins, il ne s’agit pas d’une situation confortable. En effet, dès que les données d’une entreprise sont compromises, la situation qui en résulte est inquiétante et les risques encourus demeurent bien réels.

Les utilisateurs de MongoDB alertés

John Matherly, fondateur de Shodan, un moteur de recherche pour les objets connectés à Internet, a publié un message en 2015 avertissant de l’existence d’un grand nombre de serveurs MongoDB, servant de base à de nombreux sites, et utilisant des logiciels anciens et vulnérables. Il avait écrit :

Au moins pour MySQL, PostgreSQL et une grande partie des logiciels de bases de données relationnelles, la configuration par défaut est sécurisée : à savoir l’écoute au niveau de l’interface locale uniquement, avec une forme d’autorisation fournie par défaut. Ce n’est pas le cas de certains nouveaux produits NoSQL qui ont commencé à entrer sur le marché assez récemment. 

Le problème pour les utilisateurs de MongoDB semble être que sur certains systèmes, la configuration par défaut permet à la base de données d’écouter au niveau d’un port accessible au public, et ce dès qu’elle est opérationnelle. Les utilisateurs sont censés lire le manuel et configurer le contrôle d’accès et l’authentification après l’installation du logiciel, mais il semble que beaucoup d’entre eux ne le font pas.

Le résultat est une base de données connectée à internet, sans contrôle d’accès ni authentification.

Besoin de sensibilisation

Ces récents évènements concernant MongoDB mettent en évidence une fois de plus la nécessité d’une sensibilisation accrue. Le manque de compréhension quand il s’agit de ransomwares est ressorti clairement lors d’un récent sondage mené par Sophos. L’enquête a demandé à 1 250 consommateurs dans cinq pays de lister leurs plus grandes craintes en matière de cybersécurité, d’indiquer où ils allaient chercher des conseils pour garder leurs ordinateurs en sécurité, et d’évaluer leur niveau de connaissance des ransomwares et des malwares en général.

Plus de 30% ont admis que leurs défenses contre l’hameçonnage et les ransomwares étaient médiocres, et qu’ils manquaient cruellement de connaissance sur les méthodes utilisées pour cibler les utilisateurs et les moyens de se protéger contre de telles attaques. Les utilisateurs n’ignorent pas pour autant totalement les risques encourus. Ils ont tout simplement reconnu qu’ils n’étaient pas suffisamment formés et expérimentés comme ils souhaiteraient l’être.

Plus de la moitié des personnes interrogées ont indiqué qu’elles donnaient régulièrement des conseils informatiques à leurs proches et à leurs amis. Mais 14% d’entre elles ont admis qu’ils ne savaient pas si elles avaient correctement sauvegardé les données sur l’ordinateur d’un tiers, ou si elles avaient la capacité de récupérer ces données si l’ordinateur était piraté. En attendant, 11% ont admis ne pas être sûres si les ordinateurs dont ils avaient la responsabilité étaient vraiment protégés contre les pirates et les virus.

En résumé

Si vous êtes un utilisateur MongoDB, assurez-vous d’avoir sauvegardé vos données, d’avoir patché et mis à jour votre base de données, et enfin d’avoir pris connaissance de la section Sécurité du manuel MongoDB.

Pour plus de conseils sur la manière de se protéger contre les ransomwares, vous pouvez lire l’article : Prise d’otage et ransomwares ? et après ?

Comme toujours, la meilleure défense est d’éviter de se faire infecter dès le départ, ainsi nous avons réalisé un guide intitulé : Comment bien se protéger contre les ransomwares ?, qui vous sera certainement d’une grande utilité.

Billet inspiré de Thousands of MongoDB databases compromised and held to ransom, par Bill Brenner, Sophos NakedSecurity.