Milhares de bancos de dados inseguros e expostos à Internet foram vítimas de ataques automatizados e chamados de “Meow”, nos quais os dados das vítimas são destruídos sem deixar qualquer explicação.
Uma busca no Shodan mostra que os ataques Meow aumentaram nos últimos dias, com a destruição de quase 4.000 bancos de dados. Apesar de mais de 97% dos ataques terem afetado a banco de dados Elasticsearch e MongoDB, os sistemas que executam Cassandra, CouchDB, Redis, Hadoop, Jenkins e Apache ZooKeeper também foram atacados, destacou o site BleepingComputer.
Os ataques foram chamados de Meow devido fato de que os dados são substituídos por caracteres aleatórios que incluem a palavra “meow”. Até o momento, não se sabe quem são os operadores por trás desses ataques e quais são suas motivações para executá-los.
Enquanto isso, um pesquisador de segurança escreveu no Twitter que os ataques foram realizados usando endereços IP do ProtonVPN.
The #meow attack is going thru @protonvpn, not sure how many origin IPs there are. From the logs in MongoDB you can see it drops databases first then create new ones with $randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter.com/49dnVOGyq7
— Anthr@X (@anthrax0) July 24, 2020
Por outro lado, Proton respondeu dizendo: "Estamos investigando isso e bloquearemos qualquer uso do ProtonVPN que contrarie nossos termos e condições".
Um dos primeiros casos registrados desses ataques Meow ocorrem em banco de dados Elasticsearch pertencente a um provedor de VPN. O banco de dados desprotegido foi descoberto pelo pesquisador Bob Diachenko, sendo um dos 7 serviços de VPN que vazaram os dados de mais de 20 milhões de usuários.
Diachenko notificou o provedor de hospedagem no último dia 14 de julho e o banco de dados foi protegido no dia seguinte. No entanto, o mesmo banco de dados foi exposto pela segunda vez em 20 de julho e, consequentemente, atacado pelo bot Meow que excluiu quase todos os dados armazenados.
Os ataques também foram observados por pesquisadores da GDI.Foundation, uma fundação sem fins lucrativos. Um dos ataques ocorreu depois que um pesquisador de segurança divulgou de forma responsável um banco de dados exposto. Victor Gevers, diretor da fundação, sinalizou que o culpado por esses ataques provavelmente direcionou a ação para qualquer banco de dados desprotegido que pudesse ser acessado pela Internet.
Enquanto alguns pesquisadores debatem se os atacantes estão tentando "educar" os administradores para manter seus bancos de dados seguros, o mais importante é que os administradores devem proteger adequadamente seus ativos.
Ataques a bancos de dados desprotegidos não é uma novidade. Algumas semanas atrás, escrevemos sobre milhares de bancos de dados MongoDB mal configurados que foram atacados e tiveram seus dados sequestrados. No entanto, o que pode ser considerado incomum no caso dos ataques Meow é a destruição de bancos de dados desprotegidos sem deixar qualquer explicação.
Leia também: Problemas gerados pela má gestão de dados nas empresas e organizações