Un hacker ha borrado, desfigurado más de 15,000 servidores Elasticsearch


ElasticSearch

Imagen: Elastic, ZDNet

Durante las últimas dos semanas, un pirata informático ha estado ingresando a los servidores de Elasticsearch que se han dejado abiertos en Net sin una contraseña e intentando borrar su contenido, al tiempo que deja atrás el nombre de una empresa de seguridad cibernética, tratando de desviar la culpa.

Según el investigador de seguridad británico John Wethington, una de las personas que vieron el desarrollo de esta campaña y que ayudaron a ZDNet en este informe, las primeras intrusiones comenzaron alrededor del 24 de marzo.

Los ataques parecen llevarse a cabo con la ayuda de un script automatizado que escanea en World-wide-web los sistemas ElasticSearch sin protección, se conecta a las bases de datos, intenta borrar su contenido y luego crea un nuevo índice vacío llamado nightlionsecurity.com.

Sin embargo, el script de ataque no parece funcionar en todos los casos, ya que el índice nightlionsecurity.com también está presente en las bases de datos donde el contenido se ha dejado intacto.

Sin embargo, en muchos servidores Elasticsearch, el comportamiento de borrado es obvio, ya que las entradas de registro simplemente se cortan en fechas recientes, como el 24, 25, 26 de marzo, and many others. Debido a la naturaleza altamente volátil de los datos almacenados dentro de los servidores Elasticsearch, es difícil cuantificar el número exacto de sistemas donde se eliminaron los datos.

Evening Lion Stability niega cualquier participación

En una conversación de Signal con este reportero ayer, Vinny Troia, el fundador de Night time Lion Protection, ha negado que su compañía haya tenido algo que ver con los ataques en curso.

En una entrevista le dio a DataBreaches.internet El 26 de marzo, Troia dijo que cree que el ataque está siendo llevado a cabo por un hacker que ha estado rastreando durante los últimos años, y que también es el tema de un próximo libro.

Pero aunque los ataques parecían una broma el 26 de marzo, ya no son divertidos. De los aproximadamente 150 servidores Elasticsearch desfigurados en el momento de la primera entrevista, el número de servidores Elasticsearch donde el índice nightlionsecurity.com ahora está presente ha aumentado a más de 15,000, según una búsqueda de BinaryEdge.

El número es bastante grande, considerando que el mismo BinaryEdge enumera un total de 34,500 servidores Elasticsearch que están expuestos directamente en Internet público.

be-es-instance.png "height =" auto "width =" 370 "src =" https://zdnet1.cbsistatic.com/hub/i/r/2020/04/03/f4083f86-8f70-4cb5-8bb1 -d5672f1bc3e7 / resize / 370xauto / 1773f205eab3a277b444352087c2c3e6 / be-es-instancia.png

Imagen: ZDNet

Troia dijo que notificó a la policía sobre los ataques.

ZDNet también se ha comunicado con el equipo de seguridad de Elastic, que ahora también está investigando el creciente número de servidores atacados.

Wethington actualmente está compilando una lista de servidores afectados por este ataque, tratando de identificar compañías que podrían haber interrumpido los servicios.

Además, al analizar este problema, Wethington también identificó a un segundo hacker que también apunta a los servidores Elasticsearch. Este atacante está entrando en servidores no seguros y dejando un mensaje que les dice a las víctimas que han sido pirateadas y les insta a comunicarse por correo electrónico. Actualmente, solo 40 servidores tienen este mensaje, lo que sugiere que el ataque es de pequeña escala.

be-es-instance-2.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/04/03/0dd4b186-538d-4910-ad27-fa60d0335eba/be-es-instance-2 .png

Imagen: ZDNet

Sin embargo, este tipo de ataques destructivos donde se borran los datos de Elasticsearch no son los primeros de su tipo. En la primavera y el verano de 2017, varios grupos de piratas informáticos participaron en ataques de rescate de bases de datos contra múltiples tipos de tecnologías de bases de datos, incluido Elasticsearch.

Miles de servidores Elasticsearch se borraron los datos en 2017 y se dejaron mensajes de rescate, invitando a los propietarios a pagar solicitudes de rescate para recuperar sus datos, y las víctimas no sabían que el atacante nunca robó o respaldó los datos, sino que simplemente los borró.





Enlace a la noticia first