Instance MongoDB Terbuka Masih Jadi Target Serangan Pemerasan Data
Instance MongoDB yang terekspos ke internet masih menjadi sasaran empuk serangan pemerasan data otomatis. Pelaku ancaman secara aktif menargetkan database yang salah konfigurasi dan dapat diakses tanpa pembatasan, lalu menuntut tebusan bernilai relatif kecil kepada pemilik sistem untuk memulihkan data yang telah dihapus.
Dalam kampanye terbaru ini, penyerang memanfaatkan kelemahan konfigurasi dasar sebagai titik masuk. Sekitar 1.400 server MongoDB yang terekspos dilaporkan telah disusupi, dengan catatan tebusan yang umumnya meminta pembayaran sekitar 500 dolar AS dalam bentuk Bitcoin. Modus ini mengandalkan volume serangan tinggi terhadap target dengan keamanan paling lemah.
Pola Lama yang Masih Berlanjut
Serangan pemerasan terhadap MongoDB bukanlah fenomena baru. Hingga tahun 2021, gelombang besar serangan sempat menghapus ribuan database, baik dengan maupun tanpa tuntutan tebusan. Dalam beberapa kasus, pelaku hanya menghapus data tanpa memberikan opsi pemulihan.
Meski skalanya kini lebih kecil, riset terbaru menunjukkan bahwa aktivitas tersebut masih terus berlangsung. Sebuah simulasi pengujian keamanan yang dilakukan oleh peneliti dari perusahaan keamanan siber Flare mengungkap bahwa serangan serupa tetap aktif, menargetkan database yang terekspos secara publik.
Puluhan Ribu Server Masih Terbuka
Dalam penelitiannya, Flare menemukan lebih dari 208.500 server MongoDB yang dapat diakses secara publik melalui internet. Dari jumlah tersebut, sekitar 100.000 server membocorkan informasi operasional, sementara sekitar 3.100 server dapat diakses sepenuhnya tanpa autentikasi.
Hampir setengah dari instance tanpa autentikasi tersebut, tepatnya sekitar 45,6 persen, sudah dalam kondisi terkompromi saat diperiksa. Database pada server-server ini telah dihapus, dan pelaku meninggalkan catatan tebusan sebagai satu-satunya indikasi serangan.
Analisis terhadap catatan tebusan menunjukkan pola yang konsisten. Sebagian besar meminta pembayaran sebesar 0,005 BTC dalam waktu 48 jam, dengan janji pemulihan data setelah pembayaran dilakukan. Namun, peneliti menegaskan bahwa tidak ada jaminan data benar-benar dicadangkan oleh pelaku atau akan dikembalikan setelah tebusan dibayarkan.
Indikasi Satu Pelaku Utama
Menariknya, dari seluruh catatan tebusan yang dianalisis, hanya ditemukan lima alamat dompet Bitcoin yang berbeda. Salah satu alamat bahkan digunakan pada sekitar 98 persen kasus, mengindikasikan bahwa serangan ini kemungkinan besar dijalankan oleh satu aktor ancaman utama yang fokus pada MongoDB terbuka.
Flare juga mencatat bahwa sebagian instance MongoDB yang masih terbuka namun belum terlihat diserang mungkin telah membayar tebusan sebelumnya, sehingga tidak lagi menjadi target lanjutan.
Risiko Tambahan dari Versi Usang
Selain masalah autentikasi, peneliti menemukan bahwa hampir 95.000 server MongoDB yang terekspos masih menjalankan versi lama yang rentan terhadap celah keamanan yang telah diketahui. Meski sebagian besar celah ini hanya berpotensi menyebabkan gangguan layanan, bukan eksekusi kode jarak jauh, kondisinya tetap meningkatkan risiko keamanan secara keseluruhan.
Rekomendasi Keamanan untuk Administrator
Flare menyarankan agar administrator MongoDB tidak mengekspos instance ke internet kecuali benar-benar diperlukan. Penggunaan autentikasi yang kuat, penerapan aturan firewall, serta kebijakan jaringan Kubernetes yang hanya mengizinkan koneksi tepercaya menjadi langkah krusial untuk mencegah serangan.
Selain itu, administrator disarankan untuk tidak menyalin konfigurasi secara mentah dari panduan deployment, selalu memperbarui MongoDB ke versi terbaru, serta melakukan pemantauan berkelanjutan terhadap potensi eksposur. Jika sebuah instance terlanjur terekspos, kredensial harus segera diganti dan log sistem diperiksa untuk mendeteksi aktivitas tidak sah.
Kasus ini kembali menegaskan bahwa kesalahan konfigurasi sederhana masih menjadi pintu masuk utama bagi serangan siber, bahkan pada sistem database yang telah lama digunakan secara luas di lingkungan produksi.
