Il bot Meow elimina i database Elasticsearch non protetti

Il bot Meow elimina i database Elasticsearch non protetti

Un gruppo di specialisti della sicurezza informatica ha rilevato che dozzine di database esposti su Internet sono caduti vittima di "Meow", un attacco automatico che distrugge casualmente i dati. Apparentemente tutto sembra iniziato pochi giorni fa, quando è stata rilevata la perdita di più distribuzioni di Elasticsearch e Mongo DB; la cosa più strana è che gli aggressori non danno alcuna spiegazione su questa attività, non lasciano nemmeno note di riscatto, minacce o altro. 

I ricercatori hanno eseguito una scansione di Internet utilizzando il motore di ricerca Shodan, che hanno scoperto i database interessati da questo attacco. Sebbene gli esperti abbiano cercato di contattare gli amministratori dei database esposti, a volte è troppo tardi, poiché l'attacco "Meow" è già stato perpetrato.

Uno degli incidenti Meow più recenti è stato rilevato in un database Elasticsearch di proprietà di una società di servizi VPN; gli amministratori hanno affermato che non c'erano registri di attività recenti nel database, anche se il ricercatore Bob Diachenko, che ha scoperto che non erano abilitate misure di sicurezza, ha riportato il rischio di attacco.

Il database era protetto, sebbene alcuni giorni dopo gli amministratori disabilitassero nuovamente le misure di sicurezza. Alla fine, il database è stato attaccato con Meow e tutti i record memorizzati lì sono stati eliminati.

Nelle dichiarazioni successive, Diachenko ha osservato che non ci sono molte informazioni disponibili sugli aggressori e sulle loro motivazioni, sebbene crede che potrebbe essere uno script automatizzato in grado di sovrascrivere o addirittura distruggere del tutto un database.

Altri ricercatori che hanno osservato gli attacchi di Meow credono che questo potrebbe essere il lavoro di una sorta di vigilante che cerca di intimidire gli amministratori o di insegnare loro una lezione di sicurezza informatica.

D'altra parte, Victor Gevers, presidente dell'organizzazione non governativa GDI Foundation, ha anche avvistato questa variante di attacco, affermando che anche gli attori delle minacce stanno attaccando il maggior numero possibile di database MongoDB esposti. Gevers ha anche segnalato più incidenti negli ultimi giorni, avvisando gli amministratori.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.