Ransomware et bases de données : plus d’une base sur 3 piratée

Début janvier 2017, nous écrivions sur le piratage et rançonnage de bases de données MongoDB par des cybercriminels. Un marché lucratif, qui a vite débordé sur les bases de données Elastic. Trois mois plus tard, où en est la situation ?

Le principe du piratage est simple : un cybercriminel siphonne le contenu d’une base de données et le remplace par une seule entrée, généralement appelée “please_read”.

Dans le texte se trouve le message suivant, accompagné d’une adresse email et une adresse bitcoin :

David Blog one

Your DB is Backed up at our servers, to restore send 0.5 BTC to the Bitcoin Address then send an email with your server ip

En français : Votre base de données est sauvegardée sur nos serveurs, pour la restaurer envoyez 0,5 BTC (environ 490 euros) à l’adresse bitcoin ci-dessous ensuite envoyez un email avec l’adresse IP de votre serveur

Aucune faille technique n’est exploitée, mais plutôt une simple erreur humaine : le point commun de ces bases de données malicieusement visitées est leur ouverture sur Internet – aucune authentification n’est nécessaire pour y accéder.

Afin d’identifier les bases de données qui sont accessibles sans entrer ni identifiant ni mot de passe, les cybercriminels ont simplement pu utiliser des outils gratuits et en libre accès sur Internet.

Plus d’une base de données sur 3 rançonnée

À ce jour, sur un panel de 97 584 bases de données sans protection identifiées par nos outils, nous avons analysé que 33 842 avaient été victimes de ransomware, soit 35%.

David image 2

Sur 97 584 bases de données ouvertes, 35% (33 842) sont victimes de ransomware
Selon nos recherches, les bases de données MongoDB sont plus impactées par les ransomwares – elles semblent aussi beaucoup plus nombreuses à être en ligne et non protégées.

David blog 3

Récapitulatif :

Elastic MongoDB Total
Ransomed 4 538 29 304 33 842
Clean 19 603 44 139 63 742
Unprotected 24 141 73 443 97 584

Un marché plus ou moins fructueux

En dépit d’un nombre important de bases de données affectées par les rançongiciels, les cybercriminels semblent ne pas en profiter financièrement. Seule une poignée de cybercriminels se partagent le marché, à en croire les adresses email et bitcoin laissées dans les messages de rançon.

Mais sur 3 adresses bitcoin analysées, aucune n’avait reçu de paiement de rançon.

David Blog 4

Sur une quatrième adresse, un seul paiement semble avoir été effectué, mail il pourrait simplement résulter d’une simulation de rançon, réglée par le pirate lui-même afin d’inciter les victimes à lui faire confiance.

De la communication en amont

De leur côté, Elastic et MongoDB ont tous deux mis en garde leurs utilisateurs contre ce type d’attaque, en détaillant les bonnes pratiques à mettre en place pour sécuriser les bases de données. Par exemple, la mise en place d’un contrôle d’accès robuste ou une sauvegarde fréquente de la base de données sont des moyens simples qui déjouent les tentatives d’intrusion et de rançonnage.

Les conséquences d’un tel piratage peuvent en effet être très lourdes : en avril 2016, le chercheur Chris Vickery a découvert une base de données non protégée contenant les informations personnelles de plus de 94 millions de citoyens mexicains – imaginez leur réaction si la base de données avait été piratée par des cybercriminels.

Afin d’éviter ce type de problématique, il devient donc primordial pour les entreprises et organismes de surveiller les périmètres qu’ils ne contrôlent pas. S’il est assez commun de dire que les cybercriminels ont souvent une longueur d’avance, autant leur emboîter le pas.