AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Cibercriminales lanzan ataques automatizados de extorsión contra instancias MongoDB expuestas**

admin

### Introducción

En las últimas semanas, se ha detectado una oleada de ataques automatizados dirigidos a instancias de MongoDB expuestas en Internet. Actores de amenazas están explotando configuraciones inseguras de bases de datos, eliminando datos y exigiendo rescates relativamente bajos para su supuesta restauración. La campaña, que ya ha impactado a cientos de organizaciones a nivel global, pone de manifiesto una vez más los riesgos inherentes a la falta de medidas básicas de seguridad en servicios críticos expuestos públicamente.

### Contexto del Incidente

MongoDB, uno de los sistemas de bases de datos NoSQL más populares en entornos empresariales, ha sido históricamente un objetivo habitual para atacantes debido a la frecuente ausencia de autenticación y políticas de acceso restrictivas en sus despliegues iniciales. A pesar de las advertencias y mejoras implementadas en las versiones recientes, la exposición de instancias sin protección persiste, facilitando campañas automatizadas de extorsión digital.

El incidente actual se suma a una tendencia iniciada en 2017, cuando se registró una primera oleada de ataques similares. No obstante, en 2024, la sofisticación de los scripts y bots empleados, junto con la rapidez de escaneo y explotación, ha elevado el nivel de amenaza a un nuevo umbral.

### Detalles Técnicos

**Versiones afectadas y vectores de ataque**
Las investigaciones señalan que los atacantes se centran particularmente en versiones de MongoDB anteriores a la 3.6, donde el acceso remoto sin autenticación estaba habilitado por defecto. Sin embargo, incluso implementaciones más recientes pueden verse afectadas si se han desactivado los mecanismos de autenticación o si se utilizan credenciales débiles.

El vector de ataque es directo: los bots escanean rangos de IP públicos en busca de instancias MongoDB accesibles a través del puerto TCP 27017. Una vez identificada una base de datos vulnerable, el actor de amenazas accede a la instancia, extrae información de interés (habitualmente bases de datos y colecciones críticas), elimina el contenido y crea una nueva base de datos denominada “READ_ME_TO_RECOVER_YOUR_DATA” o similar, donde deja la nota de rescate. El rescate suele oscilar entre 0,03 y 0,05 BTC (aproximadamente entre 1.000 y 1.500 euros a fecha de redacción).

**Tácticas, técnicas y procedimientos (TTP) y MITRE ATT&CK**
– **T1087 (Account Discovery):** Identificación de usuarios y roles en la base de datos.
– **T1078 (Valid Accounts):** Uso de credenciales por defecto o ausencia de autenticación.
– **T1490 (Inhibit System Recovery):** Eliminación de datos y creación de notas de rescate.
– **T1041 (Exfiltration Over C2 Channel):** Posible exfiltración de datos antes de su borrado.

**IoC (Indicadores de Compromiso) conocidos**
– Presencia de bases de datos “READ_ME_TO_RECOVER_YOUR_DATA”.
– Conexiones sospechosas al puerto 27017 desde rangos IP de centros de datos extranjeros.
– Hashes y scripts identificados en repositorios OSINT y foros underground.

**Herramientas y frameworks empleados**
Se han identificado scripts públicos en Python y Bash, así como módulos personalizados en Metasploit y herramientas de automatización como Masscan para el escaneo previo.

### Impacto y Riesgos

El impacto de esta campaña es potencialmente grave. Según datos de Shodan y censys.io, existen actualmente más de 100.000 instancias de MongoDB expuestas en todo el mundo, de las cuales aproximadamente un 20% carecen de autenticación robusta. Las organizaciones afectadas se enfrentan a:

– **Pérdida irreversible de datos** si no cuentan con copias de seguridad externas.
– **Filtración de información sensible**, contraviniendo normativas como el GDPR.
– **Daños reputacionales** y económicos derivados de la interrupción operativa y del pago de rescates.
– **Sanciones regulatorias** en caso de incumplimiento de la Directiva NIS2 y leyes de protección de datos.

### Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo, los expertos recomiendan:

1. **No exponer MongoDB directamente a Internet**. Limitar el acceso mediante VPN, firewalls y listas blancas de IP.
2. **Actualizar a la última versión disponible** y habilitar todos los mecanismos de autenticación y cifrado.
3. **Configurar roles y permisos mínimos** siguiendo el principio de privilegio mínimo.
4. **Realizar copias de seguridad externas y regulares** para garantizar la resiliencia ante borrados maliciosos.
5. **Monitorizar logs y accesos** para identificar comportamientos anómalos.
6. **Auditar periódicamente la superficie de exposición** mediante escaneos internos y servicios como Shodan.

### Opinión de Expertos

Fernando García, analista principal en un CERT español, indica: “La automatización y la baja cuantía de los rescates indican que estamos ante ataques de oportunidad, no dirigidos. Sin embargo, la pérdida de datos puede ser catastrófica para pymes sin planes de contingencia”.

Por su parte, María López, CISO de una multinacional financiera, añade: “El cumplimiento de la NIS2 nos obliga a revisar continuamente la exposición de servicios críticos. MongoDB sigue siendo un punto ciego en muchas auditorías de seguridad”.

### Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de que tanto grandes empresas como pequeñas organizaciones revisen sus políticas de despliegue y administración de bases de datos. La exposición accidental de instancias MongoDB, incluso durante pruebas o desarrollos temporales, puede derivar en incidentes de seguridad con consecuencias legales y operacionales.

A nivel de usuario, el compromiso de datos personales gestionados por estas bases de datos podría suponer filtraciones masivas, elevando el riesgo de ataques de ingeniería social y fraude.

### Conclusiones

La campaña de extorsión automatizada contra MongoDB expuestos demuestra que la falta de controles básicos sigue siendo uno de los vectores de ataque más explotados en 2024. La adopción de buenas prácticas, auditorías regulares y la conciencia sobre la superficie de exposición son esenciales para evitar ser víctima de estas amenazas cada vez más frecuentes y sofisticadas.

(Fuente: www.bleepingcomputer.com)