Un ciberatacante destruye miles de bases de datos MongoDB y Elasticsearch y deja sólo una firma: "miau"

Un ciberatacante destruye miles de bases de datos MongoDB y Elasticsearch y deja sólo una firma: "miau"
7 comentarios Facebook Twitter Flipboard E-mail

Más de 4.000 bases de datos expuestas en la red han sufrido en los últimos días un ataque que ha borrado todos sus contenidos. Los responsables del mismo no han reivindicado la acción, ni han dejado una nota de rescate exigiendo dinero para que los propietarios de las bases recuperen sus datos; sólo han dejado un mensaje: "miau".

O más bien "meow", a la inglesa, pues esta es la 'firma' que dejan los misteriosos atacantes en las bases de datos vandalizadas, acompañados de grandes cantidades de cadenas de texto aleatorias... como se ve en la siguiente captura:

Ufo Vpn 2nd Exposure

Estos ataques parecen estar automatizados, y estar causados pore un script que va seleccionando servidores 'atacables' mediante una búsqueda de determinadas vulnerabilidades (instalaciones en servidores sin cifrado SSL y/o protección mediante cortafuegos, etc).

¿Qué sabemos de víctimas y atacantes?

La mayoría de las bases atacadas son de tipo Elasticsearch y MongoDB. No son precisamente tecnologías 'de juguete': la primera es usada por plataformas como Udemy y Shopify, mientras que la segunda cuenta con usuarios tan destacados como el Gobierno británico, Adobe, eBay y Verizon. También han 'caído' algunas bases de datos basadas en otras tecnologías, como Redis, Cassandra y CouchDB.

Los expertos no han detectado ningún patrón concreto que una a las víctimas de estos ataques, lo que hace pensar en que podrían ser cosa de uno o varios hackers que están optando por métodos expeditivos de "dar una lección" de ciberseguridad a los administradores de las bases.

Un usuario ha colgado en Twitter capturas de servidores atacados que mostrarían que los atacantes están ejecutando sus ataques 'miau' conectándose a través de Proton VPN, una red privada virtual centrada en la privacidad, con el propósito de ocultar el origen del ataque.

Los responsables de Proton utilizaron también Twitter para anunciar su intención de revisar la actividad de su red e intentar bloquear a los usuarios responsables.

Vía | Search Engine Journal

Comentarios cerrados
Inicio