Sólo era cuestión de tiempo para que los grupos de ransomware –que borraron datos de miles de bases de datos de MongoDB y de Elasticsearch– comenzaran a apuntar a otras tecnologías de almacenamiento: los investigadores ya están observando ataques destructivos similares golpeando accesos abiertamente accesibles de Hadoop y de CouchDB.

Los investigadores de seguridad Victor Gevers y Niall Merrigan, quienes supervisaron los ataques de MongoDB y Elasticsearch, han comenzado a hacer un seguimiento de las nuevas víctimas de Hadoop y CouchDB. 

Los dos han reunido hojas de cálculo en documentos de Google donde documentan las diferentes formas de ataque y los mensajes que quedan después de que los datos se borran de las bases de datos.

¿Sólo actos “vandálicos”?

En el caso de Hadoop –que es un marco utilizado para el almacenamiento distribuido y el procesamiento de grandes conjuntos de datos–, los ataques observados hasta ahora pueden ser descritos como vandalismo. Esto se debe a que los atacantes no piden que se realicen pagos a cambio de devolver los datos eliminados. En vez de ello, su mensaje indica a los administradores de Hadoop que aseguren sus despliegues en el futuro.

Según el último recuento de Merrigan, hasta ahora 126 casos han sido borrados de Hadoop. Es probable que el número de víctimas aumente ya que hay miles de despliegues de Hadoop accesibles desde Internet, aunque es difícil decir cuántos son vulnerables.

Cabe recordar que los ataques contra MongoDB y Elasticsearch siguieron un patrón similar. El número de víctimas de MongoDB saltó de cientos a miles en cuestión de horas. El último recuento pone el número de bases de datos borradas de MongoDB en más de 34,000 y el de Elasticsearch en más de 4,600.

Un grupo llamado Kraken0, responsable de la mayoría de los ataques de ransomware contra bases de datos, está tratando de vender su kit de herramientas de ataque y una lista de instalaciones vulnerables MongoDB y Elasticsearch por el equivalente a 500 dólares en bitcoins.

Rescate por 100 dólares

En el caso de CouchDB –una plataforma de bases de datos similar a MongoDB­–, el número de bases de datos borradas está creciendo rápidamente y llega a más de 400 hasta ahora. A diferencia del vandalismo de Hadoop, los ataques de CouchDB se acompañan de mensajes de rescate a los atacantes pidiendo 0.1 bitcoins (alrededor de 100 dólares) para devolver los datos. Se aconseja a las víctimas no pagar porque, en muchos de los ataques de MongoDB, no había pruebas de que los atacantes hubieran copiado los datos antes de eliminarlos.

Tras haber observado los ataques, los investigadores de Fidelis Cybersecurity publicaron una entrada en su blog con más detalles y recomendaciones sobre cómo asegurar dichos despliegues.