Un atacante desconocido encuentra y elimina contenido en instalaciones no protegidas de MongoDB y ElasticSearch, dejando solo un archivo de texto con el sufijo 'miau'

Miles de bases de datos instaladas sin la seguridad adecuada, incluidos servidores en Brasil, han sido borradas mediante un ataque automático. El ataque borra la base de datos original y crea otra, vacía, cuyo nombre incluye la palabra 'miau' (miau, en el original en inglés).

Este tipo de ataque se registró a principios de julio, cuando una búsqueda en el motor de búsqueda Shodan mostró que se eliminaron casi 4.000 bases de datos. Un examen de los investigadores de Sophos mostró que más del 97% de ellos eran instalaciones de Elasticsearch y MongoDB, pero también se vieron afectados los sistemas que ejecutan Cassandra, CouchDB, Redis, Hadoop, Jenkins y Apache ZooKeeper.

El ataque más reciente tuvo lugar la semana pasada, contra una de las agencias de viajes más conocidas de la India: su base de datos exponía 43 gigabytes de datos de clientes y luego fue eliminada.

Un equipo de SafetyDetectives descubrió el servidor desprotegido el 10 de agosto y envió un correo electrónico a la empresa dando información sobre el asunto, pero no recibió respuesta. No hubo respuesta de la empresa y luego se informó al CERT nacional de India (CERT-In) y finalmente se protegió al banco, pero ya era demasiado tarde para guardar la mayor parte de la información allí almacenada: el bot Meow atacó el 12 de agosto y se fue solo 1 GB de datos.

El banco contenía alrededor de 37 millones de registros vinculados a alrededor de 700.000 usuarios.

Los ataques descubiertos en julio se originaron en direcciones de Proton Mail VPN, con sede en Suiza. La organización fue informada pero aparentemente los ataques continúan con el uso de otras VPN.

Con agencias internacionales

Fuente: