Tag Archive for ransomware

Ransomware en MongoDB

Introducción

En las últimas semanas se han producido varios ataques de ransomware contra servidores de bases de datos MongoDB, concretamente se calculan que más de 20.000 bases de datos se han visto afectadas en todo el mundo dando lugar a cerca de 680 TB de fuga de información.

El problema está en la gran cantidad de servidores publicados y en este caso que vamos a comentar, indexados por Shodan. Vale con una simple búsqueda utilizando ciertos filtros de Shodan para descubrir los servidores de MongoDB publicados en Internet.

Shodan en acción

Podemos usar el filtro “product” como vemos a continuación.

product:mongodb

Donde obtenemos 38.845 resultados tal y como se puede ver en la imagen.

Ransomware en MongoDB

Otra opción es usando el filtro “port” indicando el número de puerto correspondiente por defecto a las instancias de MongoDB, el 27017.

port:27017

Obteniendo aproximadamente unos 500 resultados más, 39.311, posiblemente como consecuencia de haber aplicado “seguridad por oscuridad“, ocultando nombre de producto, versiones, etc.

Read more

RDP y Ransomware

Hace cuestión de una semana leí un artículo(siento no recordar donde)sobre el famoso “virus de la policía” el cual ha infectado miles de equipos por despiste catastrófico de sus usuarios o por ser víctima de un ataque informático consecuencia de no tener las oportunas medidas de seguridad( actualizaciones, antivirus actualizado, etc..)

Como todos sabréis, los programas informáticos se van renovando cada X tiempo(sino se abandona el proyecto). Las llamadas actualizaciones reparan fallos en la programación que siempre se dan y que pueden solventarse con pequeños “parches” que reparan el agujero de seguridad si es que lo tienen.

Pero no solamente de fallos de programación se alimentan los atacantes. Pueden optar por aprovechar malas configuraciones en determinados servicios como por ejemplo RDP. El servicio de escritorio remoto.

Y tiene bastante lógica ya que ahora, el sistema Windows, pueda estar más protegido de un ataque del Ransomware, el cual originaba un mensaje en la pantalla anulando por completo las acciones del teclado, y advertía que debías de pagar X dinero por que se desbloqueara el equipo.

Básicamente, se ha renovado. Anteriormente aparecía un mensaje de una determinada estructura y ahora aparece de otra.

Pero ¿qué hago para que mi protocolo RDP no sea atacado?

rm

Captura de pantalla del mensaje de una de las versiones de Ransonware.

Read more

Nueva estafa en Internet con supuesta multa de la SGAE

A través del perfil en Twitter de la Policía, hemos podido saber de la existencia de un nuevo malware que simula ser una multa de la SGAE por la cual hay que pagar 50 euros. Según hemos podido saber se trata de una mutación de otro virus famoso conocido como el virus de la Policía, por el cual había que pagar 100 euros, supuestamente porque nuestros ordenadores contenía material de pornografía infantil.

Se trata de malware del tipo ransomware que por lo general se transmite mediante spam e imposibilita al usuario acceder a unos recursos, como puede ser un documento o incluso a iniciar sesión en su propio ordenador.

Como hemos comentado antes, simula ser una multa de 50 euros por disponer de material ilegal en nuestro ordenador, supuestamente por descargas ilegas de música, todo esto aprovechando el Día Mundial de Internet.

Desde el equipo de Hacking Ético os recordamos que ninguna entidad os va a solictar el pago de una multa de este tipo mediante tarjeta de crédito o PayPal, así que estad atentos, pensaros bien quién os envía un correo antes de abrirlo, mantened actualizado vuestro antivirus y sobre todo sentido común, mucho sentido común.