L'attacco informatico in corso dal nome Meow sta distruggendo moltissimi database non protetti di siti web pubblici senza nessuna motivazione apparente o spiegazione. Se gestite un sito web, è ora di correre ad effettuare un backup!
Una ricerca effettuata da BleepingComputer sul motore di ricerca IoT Shodan ha inizialmente trovano più di 1800 database colpiti dall'attacco informatico in questione, numero cresciuto a quasi 4000 durante il weekend appena trascorso. Più del 97% dei database disponibili sul web pubblico colpiti da Meow sono di tipo ElasticSearch e MongoDB.
Uno dei primi attacchi riconducibili a Meow riguarda i database Elsatic di un provider VPN trovato colpevole di non aver correttamente protetto i propri log contenenti i dati degli utenti, log che aveva assicurato di non salvare nemmeno. Il ricercatore Bob Diachenko aveva per primo scoperto questa vulnerabilità del database, messo in sicurezza il 15 luglio e di nuovo diventato accessibile pubblicamente solamente 5 giorni dopo, giorno dell'attacco.
Diachenko ha dichiarato che le motivazioni alla base di questo nuovo attacco non sono ancora chiare e che i dettagli a riguardo scarseggiano. Secondo il ricercatore l'attacco sembrerebbe basato su uno script automatico in grado di sovrascrivere o distruggere i dati completamente.
L'attacco Meow, i cui primi effetti sono stati visibili a partire dall'inizio della scorsa settimana, sembrerebbero probabilmente opera di un "vigilante" che punta a distruggere i database non sicuri per dare una lezione di sicurezza informatica agli amministratori dei siti web colpiti.
Victor Gevers, il presidente della Fondazione non-profit GDI, ha osservato che chiunque sia dietro l'attacco Meow sta apparentemente prendendo di mira indiscriminatamente qualsiasi database che sia non sicuro e raggiungibile su internet. Ha notato questo tipo di attacchi di cancellazione dei dati su sistemi che eseguono Cassandra, CouchDB, Redis, Hadoop, Jenkins così come contro dispositivi di storage collegati in rete (NAS).
Mentre non è ancora chiaro il perché gli attori della minaccia stiano cancellando i database, un ricercatore della sicurezza di nome Anthr@X ha scoperto che gli attacchi sono condotti tramite gli indirizzi IP di ProtonVPN.
The #meow attack is going thru @protonvpn, not sure how many origin IPs there are. From the logs in MongoDB you can see it drops databases first then create new ones with $randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter.com/49dnVOGyq7
— Anthr@X (@0xAnthraX) July 24, 2020
Nonostante le motivazioni alla base dell'attacco possano essere nobili, questo tipo di comportamento non porta con sé niente di positivo e potrebbe causare la perdita di alcuni dati molto importanti. Sarebbe stato molto più corretto avvertire direttamente gli amministratori dei siti "colpevoli" di rendere pubblici dei database dei propri siti web, in modo da poterli istruire sul corretto comportamento da tenere con i dati personali degli utenti e sul giusto modo di metterli in sicurezza.
Alla ricerca di una suite di sicurezza completa per i vostri PC? Kaspersky Internet Security 2020, licenza di un anno per 3 dispositivi, è in sconto su Amazon.