Un nuovo malware automatizzato sta attualmente eseguendo la ricerca di database ElasticSearch connessi a Internet senza controlli di accesso e per sovrascrivere il loro contenuto, avverte Bob Diachenko, ricercatore indipendente specializzato nella ricerca sulla violazione dei dati.
Diachenko aveva esaminato i provider di rete virtuale che perdevano i file di registro quando ha scoperto che in uno di questi casi la bot Meow aveva sovrascritto le informazioni archiviate in un’istanza ElasticSearch apert.
A differenza degli attacchi passati su database aperti con ransomware che crittografavano i file, la nuova bot semplicemente distrugge gli indici inserendo caratteri casuali seguiti da “meow”.
“È iniziato un paio di giorni fa e ora si sta diffondendo rapidamente”, rivela Diachenko, “Nessun riscatto, nessuna minaccia, solo distruzione di cluster”, ha aggiunto.
In alcuni casi, tuttavia, la bot Meow non distrugge gli indici del database. Il ricercatore ha affermato, inoltre, che al momento non vi sia alcuna indicazione su chi si trovi dietro la bot Meow o da dove provengano gli attacchi.
Nel 2017, decine di migliaia di istanze di MongoDB ed ElasticSearch sono state attaccate da un attore di minacce che utilizzava il moniker Krakeno, causando una diffusa perdita di dati.
Una scansione Shodan.io di Diachenko ha mostrato oltre 500 istanze ElasticSearch aperte in tutto il mondo, ospitate su Amazon Web Services, Microsoft Azure, Google Cloud, Digital Ocean e OVH SAS.
Chiunque si trovi dietro gli attacchi “meow” probabilmente continuerà a prendere di mira i database non sicuri, distruggendoli in modo aggressivo. Gli amministratori dovrebbero assicurarsi di esporre solo ciò che deve essere esposto e che le risorse siano adeguatamente protette.
