Grupos desconocidos de ciberdelincuentes han tomado el control y borrado datos de las bases de datos CouchDB y Hadoop, en algunos casos piden una cuota de rescate para devolver los archivos robados, pero en algunos casos, la destrucción de los datos sólo es por diversión.
Estos incidentes se producen después de que los ladrones secuestraron y llevaron a cabo el rescate de bases de datos MongoDB desde el comienzo del 2017. Los expertos en seguridad que han sido testigos de la primera ola de ataques contra servidores MongoDB predijeron que otros servidores de bases de datos se verían afectados también.
Una semana después de los ataques iniciales sobre MongoDB, también se vieron afectadas las agrupaciones Elasticsearch.
Los Ataques golpean servidores Hadoop, pero no hay rescate, simplemente vandalismo. Dos investigadores de seguridad, Victor Gevers y Niall Merrigan, han seguido estos ataques desde el principio.
Gevers dijo que a partir de la semana pasada, 12 de enero un atacante desconocido que utiliza el nombre de NODATA4U ha tenido acceso a los almacenes de datos Hadoop, borrando datos, y la sustitución de todas las tablas con una entrada denominada "NODATA4U_SECUREYOURSHIT."
En el momento de la escritura, los investigadores encontraron 124 servidores Hadoop con el nombre de la tabla anterior. Lo extraño acerca de estos ataques es que el actor amenaza no está pidiendo una petición de rescate.
En su lugar, sólo está borrando datos de los servidores de Hadoop que han dejado su panel de administración basada en web abierta a las conexiones remotas a través de Internet.
"Hay una diferencia con los casos de Hadoop," Gevers dijo ",éstas se ven como vandalismo."
"Es posible destruir al los datos en pocos segundos. Este atacante se mueve mucho más lento, como un host por hora", agregó Gevers.
Sólo un grupo parece estar implicado en los ataques contra los motores de Hadoop. En el momento de escribir esto, hay alrededor de 5.400 casos de Hadoop conectados a Internet, aunque no se sabe cuántos de éstos permite conexiones a sus interfaces de administración basada en web.
Los expertos en seguridad de Fidelis ciberseguridad también detectaron los ataques NODATA4U en servidores Hadoop.
Hoy en día, estos ataques a las bases de datos conectados a Internet se han extendido a una nueva tecnología, a Apache CouchDB.
A diferencia de los ataques de Hadoop, éstos son impulsados financieramente. Los atacantes están operando con el mismo modus operandi que los atacantes MongoDB y Elasticsearch, mediante el acceso a los servidores, la clonación / barrido de los datos, y dejando una petición de rescate en el lugar.
No está claro por el momento si el único grupo de atacantes, que va por el nombre r3l4x, exportando los datos robados o están abiertamente eliminarla, y pidiendo un rescate de todos modos.
