Новая автоматизированная вредоносная программа в настоящее время сканирует подключенные к Интернету базы данных ElasticSearch без контроля доступа и перезаписывает содержимое в них, предупредил независимый исследователь безопасности.
Боб Дьяченко, специализирующийся на исследовании нарушений данных, изучал утечку логов провайдерами виртуальных сетей, когда обнаружил, что в одном из таких случаев бот Meow перезаписал информацию, хранящуюся в открытом экземпляре ElasticSearch.
В отличие от прошлых атак на открытые базы данных с помощью программ-вымогателей, которые шифровали бы файлы, новый бот просто уничтожает индексы, вставляя случайные символы, за которыми следует «мяу».
«Это началось пару дней назад и сейчас быстро распространяется», — сказал Дьяченко ITnews.
«Никакого выкупа, никаких угроз, только уничтожение кластеров», — добавил Дьяченко.
Однако в некоторых случаях бот Мяу не уничтожает индексы базы данных, сказал он.
Дьяченко сказал, что в настоящее время нет никаких указаний на то, кто стоит за Мяу-ботом и откуда он взялся.
В 2017 году десятки тысяч экземпляров MongoDB и ElasticSearch были атакованы субъектом угроз, использующим псевдоним Krakeno, что привело к массовой потере данных.
А Shodan.io сканирование Дьяченко показало более 500 открытых экземпляров ElasticSearch по всему миру, размещенных на Amazon Web Services, Microsoft Azure, Google Cloud, Digital Ocean и OVH SAS.
Из открытых экземпляров ElasticSearch пять были размещены в Австралии.