Cibercriminales comienzan a atacar las bases de datos CouchDB y Hadoop
Después de MongoDB y Elasticsearch, los atacantes están buscando nuevos sistemas de almacenamiento de base de datos para atacar.
Ha sido cuestión de tiempo que los grupos de ransomware que borraron datos de miles de bases de datos de MongoDB y de Elasticsearch comenzaran a apuntar a otras tecnologías de almacenamiento. Los investigadores ahora están observando ataques destructivos similares golpeando accesos abiertamente accesibles de Hadoop y de CouchDB.
Los investigadores de seguridad Victor Gevers y Niall Merrigan, que supervisaron los ataques de MongoDB y Elasticsearch , también han comenzado a hacer un seguimiento de las nuevas víctimas de Hadoop y CouchDB. Los dos han reunido hojas de cálculo en documentos de Google donde documentan las diferentes firmas de ataque y los mensajes que quedan después de que los datos se borren de las bases de datos.
En el caso de Hadoop, un marco utilizado para el almacenamiento distribuido y el procesamiento de grandes conjuntos de datos, los ataques observados hasta ahora pueden ser descritos como vandalismo. Esto se debe a que los atacantes no piden que se realicen pagos a cambio de devolver los datos eliminados. En su lugar, su mensaje indica a los administradores de Hadoop que aseguren sus despliegues en el futuro.
Según el último recuento de Merrigan, 126 casos de Hadoop han sido borrados hasta ahora. El número de víctimas es probable que aumente porque hay miles de despliegues de Hadoop accesibles desde Internet, aunque es difícil decir cuántos son vulnerables. Los ataques contra MongoDB y Elasticsearch siguieron un patrón similar. El número de víctimas de MongoDB saltó de cientos a miles en cuestión de horas. El último recuento pone el número de bases de datos borradas de MongoDB en más de 34.000 y el de Elasticsearch en más de 4.600.
Un grupo llamado Kraken0, responsable de la mayoría de los ataques de ransomware contra bases de datos, está tratando de vender su kit de herramientas de ataque y una lista de instalaciones vulnerables MongoDB y Elasticsearch por el equivalente a 500 dólares en bitcoins.
En el caso de CouchDB –plataforma de bases de datos esimilar a MongoDB-, el número de bases de datos borradas está creciendo rápidamente llegando a más de 400 hasta ahora. A diferencia del vandalismo de Hadoop, los ataques de CouchDB se acompañan de mensajes de rescate a los atacantes pidiendo 0.1 bitcoins (alrededor de 100 dólares) para devolver los datos. Se aconseja a las víctimas no pagar porque, en muchos de los ataques de MongoDB, no había pruebas de que los atacantes hubieran copiado los datos antes de eliminarlos.
Tras haber observado los ataques, los investigadores de Fidelis Cybersecurity han publicado una entrada en su blog con más detalles y recomendaciones sobre cómo asegurar dichos despliegues.
