Miles de bases de datos indebidamente aseguradas y expuestas a Internet han sido víctimas de ataques automatizados que fueron denonimados 'Meow' en los que se destruyen los datos de las víctimas sin dejar una nota explicativa.
Una búsqueda en Shodan muestra que los ataques de Meow se han intensificado en los últimos días, dejando un saldo de casi 4.000 bases de datos que han sido eliminadas. Si bien más del 97% de los ataques afectaron instancias de Elasticsearch y MongoDB, los sistemas que ejecutan Cassandra, CouchDB, Redis, Hadoop, Jenkins y Apache ZooKeeper también han sido atacados, escribió el sitio BleepingComputer.
Los ataques deben su apodo al hecho de que los datos se sobrescriben con caracteres aleatorios que incluyen la palabra 'meow'. Por el momento se desconoce quiénes son los operadores detrás de estos ataques y cuáles son sus motivaciones para llevar adelante los mismos.
Mientras tanto, un investigador en seguridad escribió en Twitter que los ataques han sido llevados adelante utilizando direcciones IP de ProtonVPN.
The #meow attack is going thru @protonvpn, not sure how many origin IPs there are. From the logs in MongoDB you can see it drops databases first then create new ones with $randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter.com/49dnVOGyq7
— Anthr@X (@anthrax0) July 24, 2020
Por su parte, Proton respondió diciendo: "Estamos investigando esto y bloquearemos todo uso de ProtonVPN que vaya en contra de nuestros términos y condiciones".
Una de las primeras instancias registradas de estos ataques Meow apuntó a una base de datos Elasticsearch perteneciente a un proveedor de VPN. La base de datos indebidamente asegurada fue descubierta por el investigador Bob Diachenko y fue uno de los 7 servicios VPN que filtró los datos de más de 20 millones de usuarios.
Diachenko notificó al proveedor de hosting el día 14 Julio y la base de datos fue asegurada al día siguiente. Sin embargo, quedó expuesta por segunda vez el 20 de julio y luego recibió el ataque del bot Meow que eliminó casi todos los datos almacenados en la base de datos.
Lectura relacionada: 5 consejos para mantener seguras tus bases de datos
Los ataques también han sido observados por investigadores de la GDI.Foundation, una fundación sin fines de lucro. Uno de los ataques ocurrió después de que un investigador divulgó responsablemente una base de datos expuesta. Victor Gevers, director de la fundación, señaló que el responsable de estos ataques está probablemente apuntando a cualquier base de datos indebidamente asegurada a la que se pueda acceder a través de Internet.
Si bien algunos investigadores debaten acerca de si los atacantes están tratando de 'educar' a los administradores para mantener sus bases de datos aseguradas, lo que realmente importa a la luz de los hechos es que los administradores deben proteger adecuadamente sus activos.
Los ataques a bases de datos mal configuradas no son algo nuevo. Hace unas pocas semanas, escribimos acerca de miles de bases de datos MongoDB configuradas de manera insegura que fueron secuestradas y sus datos retenidos para obtener el pago de un rescate. Sin embargo, lo que sí podría considerarse inusual es borrar las bases de datos mal protegidas sin dejar una nota en absoluto.
Lectura relacionada: La mala gestión de los datos por parte de las empresas y sus consecuencias