Guerre des ransomwares, les bases MongoDB dans la tourmente

En 2015, le danger posé par les supports connectés non-sécurisés avait fortement été médiatisé lorsque les données personnelles de plus de 3 millions de clients d’Hello Kitty, stockées sur une base de données MongoDB et laissée ouverte par défaut, avait été exposées. De nombreuses entreprises continuent de souffrir aujourd’hui de fuites massives occasionnées par cette absence de sécurisation comme illustré par l’affaire Ghostshell.

Ce type d’attaque semble connaître en ce début d’année 2017 une très forte hausse de popularité auprès des pirates : le 4 janvier la presse spécialisée évoquait des centaines de mentions de vols de données sur des MongoDB exposées, après leur découverte fin décembre par le chercheur en sécurité Victor Gevers.

En moins d’une semaine, cette pratique a ensuite littéralement explosé : désormais plus de 27,000 attaques journalières frappent les MongoDB non-protégées, si l’on en croit le chercheur Niall Merrigan. Preuve, encore une fois, que l’échange d’information et de “bonnes” pratiques reste central dans l’activité des pirates informatiques.

La donnée, centrale dans le scénario d’extorsion

Le schéma d’attaque est très rôdé. Le pirate découvre une base non-protégée et récupère l’intégralité de son contenu. Il efface ensuite les données en ligne et laisse une demande de rançon derrière lui :

mongo-database-ransomware

Message de rançon mentionnant 0wn3d@protonmail.com

Source :Victor Gevers sur Twitter

Le message est clair : pour revoir ses données, il faut payer le pirate. L’imprudent qui n’aurait pas fait de sauvegarde de sa base se retrouve donc pris dans les griffes du maître chanteur.

Au total,  on recensait au 10 janvier 2017 une quinzaine de pirates pratiquant ces scenarii d’extorsion sur des bases MongoDB non-protégées.

Par ailleurs, CybelAngel semble avoir observé une très forte corrélation entre l’indexation de ces bases de données sur des moteurs de recherche comme Shodan et leur propension à souffrir de ce type de piratage. Ainsi, aucune des bases MongoDB non-indexées par Shodan mais toutefois non-protégées que nous avons détectées durant la rédaction de cet article ne contenait de message de rançon (l’indexation survient la plupart du temps après une exposition prolongée du support connecté sur une IP fixe) : il est donc probable que les attaquants se reposent très largement sur ce type de service tiers pour détecter les bases ouvertes.

Vrai chantage, ou simple fraude ?

S’il semble que dans un premier temps les pirates dérobaient effectivement les bases de données pour pouvoir procéder à un échange en bonne et due forme, les logs des bases de données ciblées plus récemment semblent montrer une évolution inquiétante dans le scénario de fraude.

De fait, certains pirates passant les uns après les autres sur les mêmes bases de données et supprimant les messages de leurs prédécesseurs à l’occasion, le scénario d’extorsion devient impossible à réaliser. Il est de plus très possible que certains pirates ne récupèrent tout simplement jamais la base, se contentant de l’effacer.

kraken-email

  1. Le 7 janvier à 14:25, un message signé de kraken@india.com enjoint de payer une rançon sur une base de données non-protégée. Source : logs publiés sur Pastebin.

3lix1r-email

  1. Moins de 5 heures plus tard, un deuxième pirate répète le même scénario en écrasant les données de son prédécesseur. Il n’a donc pas à disposition les informations initialement contenues sur la base. Source : logs publiés sur Pastebin.

Un marché très vite saturé

La plupart des attaquants recensés aujourd’hui semblent donc s’être dirigés de manière opportuniste et brutale vers ce type d’action malveillante, ce qui est susceptible d’occasionner rapidement des rivalités dans ce “marché” arrivant vite à saturation.

Ainsi, des informations personnelles sur le pirate “0wn3d” évoqué plus haut ont été révélées de manière anonyme le 9 janvier dernier, par l’intermédiaire du site de partage Pastebin :

own3d-dox-1

Action anonyme d’un justicier du net, ou façon bien pratique de se débarrasser d’un concurrent, il est difficile de le savoir. Mais, comble de l’embarras, les identifiants des sites favoris de 0wn3d sont aussi contenus dans la publication:

own3d-dox-2

Homo homini lupus

 

Autre élément qui pourrait mener à une saturation rapide du “marché” des MongoDB ouvertes, une publication sur Pastebin semble indiquer que Kraken propose désormais à la vente un outil permettant de scanner les MongoDB ouvertes, et d’y déposer une demande de rançon:

kraken-sell-ransomware-mongodb

D’après le portefeuille en Bitcoin de Kraken@india.com, il aurait bénéficié de 93 transaction de 0,1 Bitcoin, soit environ 8,500 euros.

L’attrait des pirates pour l’IOT se confirme

Cette vague d’attaques semble donc confirmer la tendance qui est à l’augmentation générale des intrusions sur les objets connectés, rendus plus visibles par des outils comme Shodan et contenant des données à valeur parfois inestimables.

Les pirates sont de plus en plus nombreux à saisir les opportunités que leur offrent ces nouveaux supports et protocoles, toujours plus répandus mais encore peu protégés.

Suggestions