Segelintir peretas kini berhasil membajak dan melenyapkan unsecured MongoDB database. Namun mereka menyalin alias memback-up terlebih dahulu sebelum melenyapkannya. Dan mereka meminta tebusan sekitar 0.2 Bitcoins (hampir US $211) untuk mengembalikan data yang hilang. Jadi, admin yang tidak memiliki back-up dari database mungkin akan nepak tarang kalo bahasa sundanya 😀 haha
Penliti keamanan dan Co-Founder GDI Fondation Victor Gevers (@0xDUDE) menemukan serangan ini. Dan memberitahu para owner yang menginstal MongoDB tanpa perlindungan password via Twitter.
Open MongoDB = Money 4 bad ppl.
SEND 0.2 BTC TO THIS ADDRESS AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE ! pic.twitter.com/gS4TxS7S09
— 0xDUDE (@0xDUDE) December 27, 2016
Gevers mengidentifikasi hampir 200 instalasi MongoDB yang telah terhapus dan menjadi sandera untuk ditebus. Sementara angka tersebut mencapai sekitar 2.000 database.
@SteveD3 nearly 2,000 instances affected w/ MongoDB ransomware now: pic.twitter.com/E154ZlLUmI
— John Matherly (@achillean) January 3, 2017
Serangan-serangan ini telah berlangsung selama lebih dari seminggu yang menargetkan server di seluruh dunia. Hal ini diyakini dengan alih-alih enkripsi data. Penyerang dengan kode “harak1r1” menjalankan script yang menggantikan isi dari database dengan catatan tebusan. Catatan tebusan tersebut menyampaikan:
“SEND 0.2 BTC TO THIS ADDRESS 13zaxGVjj9MNc2jyvDRhLyYpkCh323MsMq AND CONTACT THIS EMAIL WITH YOUR IP OF YOUR SERVER TO RECOVER YOUR DATABASE!”
16 Korban Dikabarkan Sudah Membayar Tebusan Ransom
Tampaknya bahwa sekitar 16 organisasi sudah membayar uang tebusan ke penyerang.
Matherly sudah memperingatkan bahaya instalasi MongoDB sejak tahun 2015. Yang memungkinkan penyerang untuk remote access database melalui Internet tanpa perlu berbagai bentuk otentikasi.
Matherly mengatakan sekitar 30.000 MongoDB berjalan pada server cloud. Seperti Amazon, Digital Ocean, Linode, dan layanan Internet & penyedia hosting OVH. Dan melakukannya tanpa otentikasi, membuat layanan cloud bug dari datacenter hosting.
Bagaimana Cara Mengetahui Bahwa Kamu Sudah Teretas?
- Periksa akun MongoDB untuk melihat jika tak ada yang menambah secret (admin) user.
- Periksa GridFS untuk melihat jika seseorang menyimpan file apapun di sana.
- Memeriksa file log untuk melihat siapa yang mengakses MongoDB.
Bagaimana Cara Melindungi Diri?
- Mengaktifkan otentikasi yang memberikan pertahanan secara mendalam. Mengedit file konfigurasi MongoDB kamu : auth = true.
- Gunakan firewall – Nonaktifkan akses remote ke MongoDB jika memungkinkan. Admin disarankan untuk menggunakan firewall untuk melindungi instalasi MongoDB dengan memblokir akses ke port 27.017.
- Mengkonfigurasi Bind_ip – Batasi akses ke server dengan mengikat pada alamat IP lokal.
- Upgrade – Administrator sangat dianjurkan untuk meng-upgrade versi dari software ke rilisan paling baru.
Administrator dianjurkan untuk mengikuti langkah-langkah keamanan yang disediakan oleh MongoDB.
