Black Cat Meow Attack Gato

Ataque automático com robô arrasa bancos de dados e deixa desaforo no servidor: “Miau!”

Atacante ainda desconhecido localiza e deleta conteúdo em instalações desprotegidas do MongoDB e ElasticSearch, deixando apenas um arquivo de texto com o sufixo ‘meow’
Da Redação
24/08/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Milhares de bancos de dados instalados sem a segurança apropriada, inclusive de servidores do Brasil, vêm sendo apagados por meio de um ataque automático. O ataque apaga o banco de dados original e cria um outro, vazio, cujo nome inclui a palavra ‘meow’ (miau, no original em inglês). Esse tipo de ataque foi registrado a partir do início de julho, quando uma pesquisa no buscador Shodan mostrava que quase quatro mil bancos de dados foram apagados. Um exame feito por pesquisadores da Sophos mostrou que mais de 97% deles eram instalações de Elasticsearch e MongoDB, mas também foram atingidos sistemas que executam Cassandra, CouchDB, Redis, Hadoop, Jenkins e Apache ZooKeeper.

O ataque mais recente aconteceu na semana passada, contra uma das mais conhecidas agências de viagens da Índia: seu banco de dados estava expondo 43 gigabytes de dados de clientes e a seguir foi apagado.

Veja isso
Vazamento pode ter dados do Banco Mundial, Fundação Gates, OMS
Falha no IBM Db2 permite que qualquer usuário acesse dados

Uma equipe da empresa SafetyDetectives descobriu o servidor sem proteção em 10 de agosto e enviou um e-mail à empresa dando informações sobre o assunto mas não obteve resposta. Não houve resposta da empresa e então o CERT nacional da Índia (CERT-In) foi informado e finalmente o banco foi protegido, mas era tarde demais para salvar a maioria das informações armazenadas lá: o bot Meow atacou em 12 de agosto e deixou apenas 1 GB dos dados.

O banco continha cerca de 37 milhões de registros vinculados a cerca de 700.000 usuários.

Os ataques descobertos em julho tinham origem em endereços da VPN Proton Mail, sediada na Suíça. A organização foi oinformada mas aparentemente os ataques continuam com o uso de outras VPNs.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Inscrição na lista CISO Advisor

* campo obrigatório