Deixar um banco de dados exposto on-line por um breve período de tempo traz um risco significativo para as empresas, de acordo com as descobertas de um experimento recente.
A empresa de segurança cibernética Comparitech montou um honeypot, na forma de um banco de dados deliberadamente exposto, hospedado em uma instância do Elasticsearch , que foi atacado por partes não autorizadas pela primeira vez, apenas 8,5 horas após sua divulgação.
Durante o período de 11 dias em que o banco de dados falso permaneceu exposto, os hackers tentaram obter acesso em 175 ocasiões separadas, com média de 18 ataques por dia.
Banco de dados não protegido
De acordo com o relatório da Comparitech, muitos hackers confiam nos mecanismos de pesquisa da IoT, como o Shodan.io ou o BinaryEdge, para identificar bancos de dados vulneráveis e dignos de ataques.
Cinco dias após a implantação do honeypot, o banco de dados foi indexado no Shodan, levando ao maior número de ataques em um único dia (22). Apenas um minuto após o honeypot aparecer nas listagens de pesquisa, dois ataques distintos ocorreram.
O relatório observou que um volume significativo de ataques ocorreu antes que o banco de dados fosse listado por qualquer mecanismo de pesquisa, o que a Comparitech diz que demonstra “quantos hackers contam com suas próprias ferramentas de verificação proativas, em vez de esperar que os mecanismos de pesquisa IoT passivos rastreiem bancos de dados vulneráveis. “
Dos 175 ataques incorridos pelo honeypot, quase todos foram originados nos Estados Unidos (89), Romênia (38) e China (15). A maioria dos ataques tentou obter informações sobre o banco de dados e suas configurações, com hackers usando o método de solicitação GET em 147 instâncias e o método POST em 24.
Embora a intenção inicial da empresa fosse desafiar a suposição de que a exposição de dados por um curto período provavelmente não resultaria em um ataque, o experimento também serviu para destacar a ampla gama de ameaças cibernéticas que os negócios enfrentam.
Após a conclusão da pesquisa, um bot de ransomware descobriu o honeypot ainda público e excluiu os poucos arquivos que restavam – um ataque que durou apenas cinco segundos.
“Se você deseja recuperar seus dados, envie 0,06 TBC para [*************] e deve enviar e-mail para [*************] com seu IP. Se você precisar de uma prova sobre seus dados, envie um email (sic). Se você não efetuar um pagamento, todos os seus dados poderão ser utilizados para nossos propósitos e/ou serão vazados/vendidos ”, dizia uma nota deixada pelo bot malicioso.
A empresa de segurança observou que uma parte dos atacantes identificados como parte do estudo poderia muito bem ter sido colegas pesquisadores de segurança (atacantes benignos), que geralmente são indistinguíveis de atores maliciosos.
Saiba mais sobre isso em nosso setor de segurança digital.