Instancias de MongoDB expuestas siguen siendo objetivo de ataques de extorsión d

Iniciado por AXCESS, Febrero 02, 2026, 06:05:56 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 02, 2026, 06:05:56 PM


Un ciberdelincuente está atacando instancias de MongoDB expuestas mediante ataques automatizados de extorsión de datos, exigiendo rescates bajos a los propietarios para restaurar la información.

El atacante se centra en los objetivos más fáciles: bases de datos inseguras debido a configuraciones incorrectas que permiten el acceso sin restricciones. Se han comprometido alrededor de 1400 servidores expuestos, y la nota de rescate exigía un pago de aproximadamente 500 dólares en Bitcoin.

Hasta 2021, se produjo una oleada de ataques que eliminaron miles de bases de datos y exigieron un rescate para restaurar la información. En ocasiones, el atacante simplemente elimina las bases de datos sin exigir ningún pago.

Un ejercicio de pruebas de penetración realizado por investigadores de la empresa de ciberseguridad Flare reveló que estos ataques continuaban, aunque a menor escala.

Los investigadores descubrieron más de 208.500 servidores MongoDB expuestos públicamente. De ellos, 100.000 exponían información operativa y a 3.100 se podía acceder sin autenticación.

Resultados de la búsqueda en Shodan


Casi la mitad (45,6%) de quienes tenían acceso sin restricciones ya habían sido víctimas de un ataque cuando Flare analizó sus sistemas. La base de datos había sido eliminada y se había dejado una nota de rescate.

Un análisis de las notas de rescate reveló que la mayoría exigían un pago de 0,005 BTC en un plazo de 48 horas.

«Los ciberdelincuentes exigen el pago en Bitcoin (a menudo alrededor de 0,005 BTC, equivalente hoy en día a entre 500 y 600 dólares estadounidenses) a una dirección de monedero específica, prometiendo restaurar los datos», indica el informe de Flare.

«Sin embargo, no hay garantía de que los atacantes tengan los datos ni de que proporcionen una clave de descifrado funcional si se realiza el pago».

Ejemplo de la nota de rescate


Solo se encontraron cinco direcciones de billetera distintas en las notas de rescate, y una de ellas predominaba en aproximadamente el 98% de los casos, lo que indica que un único actor malicioso estaba detrás de estos ataques.

Flare también comenta sobre las instancias expuestas restantes que no parecían haber sido afectadas, a pesar de estar expuestas y mal protegidas, planteando la hipótesis de que estas podrían haber pagado ya un rescate a los atacantes.

Además de las deficientes medidas de autenticación, los investigadores también descubrieron que casi la mitad (95.000) de todos los servidores MongoDB expuestos a internet ejecutan versiones antiguas vulnerables a fallos de seguridad conocidos. Sin embargo, el potencial de la mayoría de estas vulnerabilidades se limitaba a ataques de denegación de servicio, sin permitir la ejecución remota de código.

Distribución de las vulnerabilidades CVE en las 95.000 instancias expuestas



Flare recomienda que los administradores de MongoDB eviten exponer las instancias al público a menos que sea estrictamente necesario, utilicen autenticación robusta, implementen reglas de firewall y políticas de red de Kubernetes que permitan solo conexiones de confianza, y eviten copiar configuraciones de las guías de implementación.

MongoDB debe actualizarse a la última versión y monitorearse continuamente para detectar posibles vulnerabilidades. En caso de exposición, se deben cambiar las credenciales y examinar los registros en busca de actividad no autorizada.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario