Más de 4.000 bases de datos expuestas en la red han sufrido en los últimos días un ataque que ha borrado todos sus contenidos. Los responsables del mismo no han reivindicado la acción, ni han dejado una nota de rescate exigiendo dinero para que los propietarios de las bases recuperen sus datos; sólo han dejado un mensaje: “miau”.
O más bien “meow”, a la inglesa, pues esta es la ‘firma’ que dejan los misteriosos atacantes en las bases de datos vandalizadas, acompañados de grandes cantidades de cadenas de texto aleatorias.
Estos ataques parecen estar automatizados, y estar causados pore un script que va seleccionando servidores ‘atacables’ mediante una búsqueda de determinadas vulnerabilidades (instalaciones en servidores sin cifrado SSL y/o protección mediante cortafuegos, etc).
La mayoría de las bases atacadas son de tipo Elasticsearch y MongoDB. No son precisamente tecnologías ‘de juguete’: la primera es usada por plataformas como Udemy y Shopify, mientras que la segunda cuenta con usuarios tan destacados como el Gobierno británico, Adobe, eBay y Verizon. También han ‘caído’ algunas bases de datos basadas en otras tecnologías, como Redis, Cassandra y CouchDB.
Los expertos no han detectado ningún patrón concreto que una a las víctimas de estos ataques, lo que hace pensar en que podrían ser cosa de uno o varios hackers que están optando por métodos expeditivos de “dar una lección” de ciberseguridad a los administradores de las bases.
Desde hace varios días, un ataque conocido como Meow (Miau) ha borrado varios miles de bases de datos conectadas a Internet sin protección de Elasticsearch y MongoDB. Los atacantes, cuyo motivo para obrar así se desconocen, eliminan todo su contenido de manera permanente, según Bleeping Computer, y únicamente dejan en ellas la palabra meow.
El ataque fue detectado a los pocos días de iniciarse los ataques por el investigador de seguridad Bob Diachenko, cuando descubrió que una base de datos que almacenaba los detalles de usuario de la VPN UFO había sido destruida. La VPN UFO había aparecido ese mismo día en las noticias porque esa base, a la que todo el que lo desease podría acceder, dejase al descubierto gran cantidad de información sensible a los usuarios. Además, la VPN alegaba que no mantenía registros, lo que se demostró que era falso.
Desde entonces han desaparecido varios miles de bases de datos más, sin que se sepa quién o quiénes están detrás de estos ataques, que parece que se llevan a cabo únicamente por diversión. Se registran exclusivamente sobre bases de datos desprotegidas, y no cifra su contenido para conseguir una recompensa por su descifrado como otros ataques.
Lo único que hace es destruir los índices de las bases a las que afecta mediante la inserción de caracteres aleatorios, seguidos de, como hemos mencionado, la palabra meow. Por ahora, el ataque sigue su curso, y los bots que lo llevan a cabo siguen con el rastreo de bases de datos desprotegidas online.
Según Diachenko, todo apunta a que los ataques parecen obra de un script automatizado que o bien reescribe los datos almacenados en las bases o destruye por completo dichos datos. Los ataques se han extendido también a sistemas que ejecutan Cassandra, CouchDB, Redis, Hadoop y Jenkins. También a dispositivos de almacenamiento conectados a la Red. Además, al parecer, se llevan a cabo a través de direcciones IP de ProtonVPN.
Por ahora, para tratar de frenar el ataque, hay equipos de investigadores de seguridad a la búsqueda de bases de datos sin proteger conectadas a Internet, para alertar a sus propietarios y que puedan securizarlas antes de ser víctimas de este ataque.
