A partire da inizio anno si è scatenata una vera e propria epidemia di attacchi ransomware contro i database MongoDB e, secondo alcuni ricercatori, sono già circa 30.000 quelli colpiti. Si tratta, nello specifico, di attacchi di tipo ransacking (ransom attaccking), che non richiedono cioè l’infezione della vittima tramite malware, ma sfruttano l’errata configurazione dei database, che possono così divenire accessibili dall’esterno ed essere cancellati completamente.

Bisogna specificare che non tutti i database MongoDB sono vulnerabili a questi attacchi. Lo sono però quelli, come appena accennato, configurati in modo errato e che non hanno una password di amministratore impostata.

All’inizio di questa ondata di attacchi il pericolo derivava da un solo hacker che, con la minaccia di cancellare i database colpiti, chiedeva come riscatto alle vittime degli attacchi circa 200 dollari in Bitcoin. Esempio (evidentemente di successo) che è poi stato seguito anche da altri hacker (una ventina al momento) per un totale di 28.665 database colpiti.

mongodb

Logicamente, come succede sempre quando c’è un riscatto di mezzo, non vi è alcuna certezza che, una volta pagata la somma, il database sequestrato torni in possesso dei legittimi proprietari o che non sia stato copiato nel frattempo su un server dell’hacker. Senza poi contare che altri hacker potrebbero farsi avanti chiedendo lo stesso tipo di riscatto.

Come già detto, la vulnerabilità non dipende da MongoDB, ma del modo in cui lo si configura, tanto che già nel dicembre del 2015 erano ben 99.000 i database MongoDB che risultavano vulnerabili proprio per la mancanza di un’adeguata impostazione dei parametri di sicurezza (password e il mantenimento della porta di default 27017).

MongoDB ha rilasciato una procedura disponibile in questa pagina su come reagire nel caso il proprio database sia stato colpito da questo tipo di attacco, mentre qui è disponibile la lista dei controlli da compiere per assicurarsi che il proprio database sia sicuro e protetto.