- Decenas de instancias de MongoDB no seguras son ubicadas por bots “Meow” y borradas o sobrescritas.
- Las bases de datos se destruyen esencialmente, pero no se proporcionan razones, objetivos o explicaciones específicas.
- “Meow” podría ser el trabajo de investigadores bien intencionados, o actores que intentan ocultar sus huellas.
Alguien ha vuelto a apuntar a bases de datos desprotegidas indexadas en Shodan y BinaryEdge, borrando su contenido y sin dar explicaciones de ningún tipo. Este tipo peculiar de ataque se llama “Meow”, y los investigadores están desconcertados sobre cuál es el objetivo. Vemos que estas toallitas suceden en oleadas de vez en cuando, y parece que estamos pasando por otra ola en este momento.
Según Bleeping Computer , ya hay docenas de bases de datos indexadas desprotegidas que han sido eliminadas por “Meow”, con un ejemplo notable que es la base de datos expuesta de las VPN basadas en Hong Kong que cubrimos la semana pasada .
Meow implica ejecutar un bot de escaneo, que localiza instancias desprotegidas y luego elimina todos los datos o los sobrescribe . No hay notas de rescate, ni amenazas entregadas, ni explicaciones. Esto deja mucho margen para la especulación, y hay muchos escenarios posibles que suenan realistas o plausibles.
Algunos sugieren que este es el trabajo de actores bien intencionados que intentan enseñar a los administradores una lección de seguridad. A otros les gusta creer que una agencia internacional está interrumpiendo activamente las operaciones maliciosas de los vendedores de datos y los mercados web oscuros asociados, cerrando efectivamente el grifo.
Otra idea que se encuentra en el lado opuesto es que los ataques “Meow” están destinados a impedir que los investigadores descubran información valiosa. Potencialmente, los actores “Miau” pueden participar en la filtración de los datos y limpiar la base de datos objetivo para ocultar sus huellas y hacer que sea imposible para los investigadores averiguar qué sucedió, quién se vio afectado y quién es responsable del ataque. Esto tiene sentido, pero todo es parte de la especulación, por lo que no se puede decir nada con certeza.
Lo que es seguro es que la operación de las entidades que tienen sus bases de datos borradas se ve interrumpida, especialmente cuando esas bases de datos son sistemas activos y no solo copias de seguridad mal configuradas. Los administradores finalmente deben seguir prácticas seguras y prestar atención a los detalles de configuración de ElasticSearch, y si los ataques Meow sirven como una fuerza que empuja en esa dirección, que así sea.
La automatización entra cada vez más en juego este año, y todo tipo de bots localizan rápidamente bases de datos que están indexadas públicamente. Al final, Meow es solo una demostración de lo que es posible, y lo que es posible también es probable. Muchas personas están haciendo cosas solo porque pueden hacerlo, por lo que no siempre hay una explicación razonable detrás de todo.