Hoe tienduizenden MongoDB-databases slachtoffer konden worden van ransomware

Al sinds begin deze maand wordt een groeiend aantal databases gekaapt door ransomware. Daardoor zijn duizenden websites hun data kwijt, en het is maar de vraag of ze die terug krijgen. Dit is een reconstructie van wat er precies is gebeurd, en hoe veel beveiligingsexperts een dergelijke aanval al aan zagen komen.

Begin deze maand doemden de eerste geruchten op over een aantal databases die zouden zijn getroffen met ransomware. Hackers hadden databases gevonden die relatief makkelijk te kraken waren, en hadden die getroffen met de gijzelsoftware. De slachtoffers konden hun bestanden terugkrijgen door 1 Bitcoin te betalen - al is het met de huidige achtbaankoers moeilijk te zeggen hoeveel dat waard is.

De eerste berichten kwamen naar voren door de Nederlandse ethisch hacker Victor Gevers (0xDUDE), die in 2015 al aan De Correspondent liet zien hoe makkelijk lekke MongoDB-systemen te vinden waren.

Aanvankelijk leek het nog te gaan om zo'n 2,000 databases, maar dat liep later op tot meer dan 27,000.
 

-


Het gaat specifiek om databases van MongoDB, één van de meestgebruikte databasesystemen ter wereld. MongoDB is na Oracle, MySQL en Microsoft SQL Server de meestgebruikte engine op internet, met honderduizenden websites die ervan gebruik maken.

De hackers hebben de databases niet versleuteld, maar vervangen door lege databases met teksten zoals 'WARNING', 'PWND' en 'PLEASE_READ'. In readme's staat dat de data wel nog bij de hackers is.

De hackers zochten specifiek op databases die slecht waren beveiligd

Het gaat in het bijzonder om databases die makkelijk te kraken waren, omdat er geen admin-wachtwoord op zat. Dat is volgens onderzoekers een aanwijzing dat het niet gaat om erg geavanceerde criminelen, maar om hackers die voor het laaghangend fruit willen gaan.

Daarnaast lijkt het erop dat het niet gaat om één groep hackers, maar om meerdere. Dat is te zien in deze database, waarin de verschillende bitcoin-adressen en groepnamen staan beschreven van hackers die ergens een database hebben gekaapt. Dat is waarschijnlijk omdat de malware te koop is voor andere copycats.

Kritiek op MongoDB

MongoDB heeft in het verleden al al veel kritiek gekregen voor de manier waarop het data clustert, en hoewel de NoSQL-architectuur sommige voordelen heeft zit er één grote fundamentele fout in MongoDB: de standaardinstellingen. Zo hebben die bij installatie poort 27027 open staan, en kent de database automatisch adminrechten toe aan iedere bezoeker. Die bug is al bekend sinds versie 2.5 (sinds februari 2012), en is in versie 2.6.0 ook al opgelost, maar zelfs in 2015 was nog steeds ruim 600 terabytes aan informatie vrij toegankelijk, verspreid over ruim 30,000 databases.

Hoewel er destijds al werd gewaarschuwd voor grote gevolgen van de veiligheid, leek er weinig te gebeuren. Onder andere door een fout in de MongoDB-configuratie konden hackers in 2014 ook al miljoenen dollar buitmaken van een nieuwe cryptovaluta, de Flexcoin. Inmiddels staat de ransomware al te koop op internet, wat verklaart dat er meerdere bendes actief mee zijn.

Niet terug

Er is nog een ander probleem: er is weinig reden aan te nemen dat slachtoffers hun databases ook echt terugkrijgen nadat zij betalen. Dat is bij ransomware altijd een gok, maar er zijn genoeg redenen waarom ransomwarehackers wél doen wat zij beloven - zoals onze collega's van Computer Idee schreven in het artikel 'Moet je nu wel of niet betalen voor ransomware?' Hackers hebben vaak zelfs uitgebreide klantenservices om te zorgen dat meer slachtoffers het losgeld betalen.

Lees ook: 'Politie: "Kans op ontsleuteling bij betalen van ransomware is relatief groot"'.

Geen bewijs

In het geval van de MongoDB-databases is dat echter niet het geval, zoals beveiligingsonderzoeker Niall Merrigan al schreef. Het lijkt er namelijk op dat veel data niet van tevoren is gedownload, maar wel direct is versleuteld.

-

Bij een ransomware-aanval is het (zeker op database- of enterprise-niveau) gebruikelijk dat de hackers vooraf bewijs geven dat zij de originele bestanden nog hebben, of de versleutelde bestanden kunnen ontsleutelen. Dat is op dit moment nog niet gebeurd, van geen enkele groep die databases hebben afgenomen. Toch zijn er nog maar weinig bedrijven die het losgeld hebben betaald. Volgens schattingen die zijn gebaseerd op bitcointransacties uit de -blockchain zou het slechts om 13 slachtoffers gaan.

Er is geen reden om aan te nemen dat slachtoffers hun data terug krijgen

In het overzicht staat zelfs bij één slachtoffer te lezen dat de hackers de database de naam 'DELETED_BECAUSE_YOU_DIDNT_PASSWORD_PROTECT_YOUR_MONGODB' hebben gegeven - een indicatie dat er in ieder geval één hackersgroep is die het niet om het geld doet en de bestanden niet terug wil geven.

 

Reactie MongoDB

Opvallend genoeg heeft MongoDB nog amper gereageerd op de hacks. Het bedrijf heeft slechts één blogpost geplaatst waarin de aanvallen werden genoemd, maar die blogpost bestond voornamelijk uit tips over hoe gebruikers zich konden beschermen tegen gijzelsoftware.

Zoals andere bedrijven als tip geven hamert ook MongoDB op het belang van backups, die 99% van de problemen kunnen voorkomen. Aangezien het er ook op lijkt dat de hack voortkwam uit slechts opsec, is er volgens security-experts weinig te veranderen aan de situatie.

Deel dit artikel
Voeg toe aan favorieten