Alguien con el apodo de Harak1r1 ha estado atacando bases de datos desprotegidas de MongoDB, robando y reemplazando su contenido y además, pidiendo rescate a los afectados para así poder recuperar sus datos. Los ataques parecen haber estado ocurriendo por más de una semana y se sabe que servidores en todo el mundo han sido vulnerados.

Quien primero notó el ataque fue el investigador en seguridad Víctor Gevers, quien es parte del Proyecto 366 junto con la Fundación GDI, quien ha estado ocupado investigando los servidores de MongoDB no protegidos y además, alertando a las compañías sobre esta problemática. El atacante está pidiendo 0.2 Bitcoins para que los afectados recuperen sus datos. Eso es equivalente actualmente a 200 dólares. Un Bitcoin se valúa en 1000 dólares, aproximadamente.

Cuando Gevers accedió a un servidor abierto, en lugar de ver los contenidos de las bases de datos, que son una colección de tablas, encontró una sola tabla llamada "WARNING" que decía lo siguiente:

{
"_id" : ObjectId("5859a0370b8e49f123fcc7da"),
"mail" : "[email protected]",
"note" : "SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE !"
}

De acuerdo con Gevers, el atacante tuvo acceso a la base de datos no protegida de MongoDB, exportó sus contenidos y reemplazó todos los datos con la tabla mostrada. "Fui capaz de confirmar esto, porque los archivos de la bitácora del sistema mostraron claramente la fecha en la que se exportaron los datos y que se reemplazaron por el archivo de …