Relatórios públicos indicam uma campanha automatizada que procura instâncias MongoDB expostas na internet, apaga dados e insere notas de resgate. O padrão é repetitivo e técnico: varredura, acesso sem autenticação, exfiltração/avaliação e destruição.
Descoberta e escopo
Fontes de monitoramento identificaram mais de 200.000 servidores MongoDB publicamente acessíveis, dos quais ~3.100 foram confirmados como totalmente expostos sem controles de acesso. Aproximadamente 45,6% dessas instâncias totalmente expostas já exibem notas de resgate, segundo investigação publicada.
Vetor e modus operandi
Os atacantes exploram más configurações de implantação, não vulnerabilidades de software: imagens Docker e “templates” frequentemente vinculam o serviço a todas as interfaces (0.0.0.0) e deixam a porta 27017 acessível sem SCRAM ou outra forma de autenticação. Ferramentas de varredura automatizada identificam esses alvos, após o que os operadores exportam ou enumeram dados para avaliar valor antes de executar operações de remoção de coleções e bancos.
Evidências de operacionalidade e economia do crime
O padrão observado é econômico: exigências de resgate modestíssimas (tipicamente US$500–600) tornaram a atividade rentável em escala. As análises apontam que mais de 98% dos pagamentos rastreados foram enviados a uma única carteira Bitcoin, sugerindo operação centralizada ou pelo menos um ator dominante na campanha.
Fatores que propagam o problema
Além da exposição direta, repositórios de containers contêm imagens inseguras: análise detectou 763 imagens no Docker Hub com configurações MongoDB inseguras em 30 namespaces distintos, e ao menos dois projetos com >15.000 pulls cada forneciam bindings sem autenticação — demonstrando como defaults inseguros se espalham por templates populares.
Mitigações recomendadas
- Auditar imediatamente implantações MongoDB para identificar exposições públicas;
- Restringir bind do serviço a redes privadas e bloquear ingressos públicos na porta 27017 por firewall/NSG;
- Habilitar SCRAM com controle de acesso baseado em funções e substituir imagens Docker por versões endurecidas;
- Implementar monitoramento contínuo de exposição (Shodan, CSPM) e segmentação de rede para reduzir superfície de ataque.
Limites das informações e gaps
Os relatórios descrevem escala e padrão, mas não listam vítimas identificáveis por país ou organização, nem confirmam pagamentos individuais além da análise de carteiras. Também não há indicação pública — nos materiais consultados — de exploração por vulnerabilidade pré-autenticação no próprio MongoDB; o risco crítico destacado é a possibilidade de um zero‑day que, se surgisse, poderia ampliar rapidamente o impacto.
Implicações para governança e compliance
Para empresas com dados regulados (incluindo aplicações sujeitas à LGPD), a exposição de bases implica risco de violação de dados e obrigação de notificação. Equipes de segurança e TI devem priorizar auditoria de exposição e planos de recuperação — backups isolados e testados — pois a modalidade observada inclui destruição permanente de coleções.
O que falta saber
Não há nesta fonte indicação direta de incidentes relacionados a organizações brasileiras, nem de indicadores de comprometimento (IoCs) detalhados divulgados publicamente. Caso existam investigações de fornecedores de nuvem ou provedores locais, tais informações ainda não foram publicadas nas fontes consultadas.