O Ransomware recentemente atingiu algumas instalações do MongoDB não seguras e manteve os dados em resgate. Aqui vamos ver o que é MongoDB e dê uma olhada em algumas etapas que você pode tomar para proteger e proteger o banco de dados MongoDB. Para começar, aqui está uma breve introdução sobre o MongoDB.
O que é o MongoDB?
O MongoDB é um banco de dados de código aberto que armazena dados usando um modelo de dados de documento flexível. O MongoDB difere dos bancos de dados tradicionais que são construídos usando tabelas e linhas, enquanto o MongoDB usa uma arquitetura de coleções e documentos.
Seguindo um projeto de esquema dinâmico, o MongoDB permite que os documentos em uma coleção tenham diferentes campos e estruturas. O banco de dados usa um formato de armazenamento de documentos e intercâmbio de dados chamado BSON, que fornece uma representação binária de documentos semelhantes a JSON. Isso torna a integração de dados para certos tipos de aplicativos mais rápida e fácil.
Ransomware ataca dados do MongoDB
Recentemente, Victor Gevers, um pesquisador de segurança, twittou que havia uma série de ataques Ransomware em instalações MongoDB mal protegidas. Os ataques começaram em dezembro do ano passado e desde então infectaram milhares de servidores do MongoDB.
Inicialmente, Victor descobriu 200 instalações do MongoDB que foram atacadas e mantidas como resgate. No entanto, logo as instalações infectadas aumentaram para 2000 DBs, conforme relatado por outro pesquisador de segurança, o fundador da Shodan, John Matherly, e até o final do ano.st semana de 2017, o número de sistemas comprometidos era superior a 27.000.
Resgate exigido
Os relatórios iniciais sugeriram que os atacantes estavam exigindo 0,2 Bitcoins (aproximadamente US $ 184) como resgate que foi pago por 22 vítimas. Atualmente, os atacantes aumentaram o valor do resgate e agora estão exigindo 1 Bitcoin (Aproximadamente 906 USD).
Desde a divulgação, os pesquisadores de segurança identificaram mais de 15 hackers envolvidos no sequestro de servidores MongoDB. Entre eles, um invasor usando o identificador de e-mail kraken0 tem comprometeu mais de 15.482 servidores MongoDB e está exigindo 1 Bitcoin para retornar os dados perdidos.
Como o MongoDB Ransomware entra
Servidores MongoDB que são acessíveis pela Internet sem uma senha são aqueles que são alvos dos hackers. Assim, os administradores de servidores que escolheram executar seus servidores sem uma senha e empregado nomes de usuário padrão foram facilmente detectados pelos hackers.
O que é pior, existem instâncias do mesmo servidor sendo re-hacked por diferentes grupos de hackers que têm substituído as notas de resgate existentes com as suas, tornando impossível para as vítimas saber se estão pagando o criminoso certo, muito menos se seus dados podem ser recuperados. Portanto, não há certeza se algum dos dados roubados será retornado. Portanto, mesmo que você pague o resgate, seus dados ainda podem ter desaparecido.
Segurança do MongoDB
É uma obrigação que os administradores do servidor devem atribuir uma senha forte e nome de usuário para acessar o banco de dados. As empresas que usam a instalação padrão do MongoDB também são aconselhadas a atualizar seu software, configure a autenticação e trancar a porta 27017 que tem sido mais alvo pelos hackers.
Etapas para proteger seus dados do MongoDB
Aplicar controle de acesso e autenticação
Comece ativando o controle de acesso do seu servidor e especifique o mecanismo de autenticação. A autenticação requer que todos os usuários forneçam credenciais válidas antes que possam se conectar ao servidor.
O mais recente MongoDB 3.4 A liberação permite que você configure a autenticação em um sistema desprotegido sem incorrer em tempo de inatividade.
Controle de acesso baseado em função de instalação
Em vez de fornecer acesso total a um conjunto de usuários, crie funções que definam o acesso exato a um conjunto de necessidades dos usuários. Siga um princípio de menor privilégio. Em seguida, crie usuários e atribua a eles apenas as funções necessárias para executar suas operações.
Criptografar Comunicação
Dados criptografados são difíceis de interpretar, e não são muitos os hackers capazes de descriptografá-lo com sucesso. Configure o MongoDB para usar o TLS / SSL para todas as conexões de entrada e saída. Use TLS / SSL para criptografar a comunicação entre os componentes mongod e mongos de um cliente MongoDB, bem como entre todos os aplicativos e o MongoDB.
Usando o MongoDB Enterprise 3.2, a criptografia nativa em repouso do mecanismo de armazenamento WiredTiger pode ser configurada para criptografar dados na camada de armazenamento. Se você não estiver usando a criptografia do WiredTiger em repouso, os dados do MongoDB deverão ser criptografados em cada host usando o sistema de arquivos, o dispositivo ou a criptografia física.
Limitar a exposição de rede
Para limitar a exposição à rede, certifique-se de que o MongoDB seja executado em um ambiente de rede confiável. Os administradores devem permitir que apenas clientes confiáveis acessem as interfaces de rede e as portas nas quais as instâncias do MongoDB estão disponíveis.
Faça backup dos seus dados
O MongoDB Cloud Manager e o MongoDB Ops Manager fornecem backup contínuo com recuperação point in time, e os usuários podem ativar alertas no Cloud Manager para detectar se sua implantação está exposta à Internet
Atividade do Sistema de Auditoria
Periodicamente, os sistemas de auditoria garantirão que você esteja ciente de qualquer alteração irregular em seu banco de dados. Rastreie o acesso a configurações e dados do banco de dados.O MongoDB Enterprise inclui um recurso de auditoria do sistema que pode registrar eventos do sistema em uma instância do MongoDB.
Execute o MongoDB com um usuário dedicado
Execute processos do MongoDB com uma conta de usuário do sistema operacional dedicada. Certifique-se de que a conta tenha permissões para acessar dados, mas sem permissões desnecessárias.
Execute o MongoDB com opções de configuração seguras
O MongoDB suporta a execução do código JavaScript para determinadas operações do lado do servidor: mapReduce, group e $ where. Se você não usar essas operações, desabilite o script do lado do servidor usando a opção –noscripting na linha de comando.
Use somente o protocolo wire do MongoDB em implantações de produção. Mantenha a validação de entrada ativada. O MongoDB ativa a validação de entrada por padrão por meio da configuração wireObjectCheck. Isso garante que todos os documentos armazenados pela instância do mongod sejam válidos no BSON.
Solicitar um Guia de Implementação Técnica de Segurança (quando aplicável)
O Security Technical Implementation Guide (STIG) contém diretrizes de segurança para implantações no Departamento de Defesa dos Estados Unidos. A MongoDB Inc. fornece seu STIG, mediante solicitação, para situações em que é necessário. Você pode solicitar uma cópia para mais informações.
Considere a conformidade com padrões de segurança
Para aplicações que exigem conformidade HIPAA ou PCI-DSS, consulte a Arquitetura de referência de segurança do MongoDB. Aqui para saber mais sobre como você pode usar os principais recursos de segurança para criar uma infraestrutura de aplicativos compatíveis.
Como descobrir se sua instalação do MongoDB foi invadida
- Verifique seus bancos de dados e coleções. Os hackers costumam abandonar bancos de dados e coleções e substituí-los por um novo, exigindo um resgate pelo original.
- Se o controle de acesso estiver ativado, faça uma auditoria nos logs do sistema para descobrir tentativas de acesso não autorizado ou atividade suspeita. Procure comandos que baixaram seus dados, modificaram usuários ou criaram o registro de demanda de resgate.
Observe que não há garantia de que seus dados serão devolvidos, mesmo depois de pagar o resgate. Portanto, após o ataque, sua primeira prioridade deve ser proteger seu (s) cluster (s) para evitar acesso não autorizado.
Se você fizer backups, no momento em que restaurar a versão mais recente, poderá avaliar quais dados podem ter sido alterados desde o backup mais recente e o tempo do ataque. Para mais, você pode visitar mongodb.com.
