Especialistas de Secureworks Counter Threat Unit identificaron índices de múltiples bases de datos de Elasticsearch orientadas a Internet cuya información fue reemplazada con una nota de rescate de forma similar a un ataque de ransomware. En estos mensajes, se exige a los administradores realizar un pago en Bitcoin a cambio de restablecer el acceso a los datos afectados.
Según el reporte, los datos guardados en estas implementaciones se reemplazaron con una nota de rescate almacenada en el campo ‘mensaje’ de un índice llamado ‘read_me_to_recover_database’. Dentro del campo ’email’, hay una dirección de correo electrónico de contacto. Los investigadores han identificado al menos cuatro direcciones email distintas asociadas a estas campañas.
Hasta el momento se han detectado más de 1,200 bases de datos de Elasticsearch mostrando estas notas de rescate, aunque por ahora no es posible determinar el número real de víctimas porque la gran mayoría de las bases de datos estaban alojadas en redes operadas por proveedores de servicios en la nube. Es probable que algunas bases de datos pertenezcan a la misma organización, pero en la mayoría de los casos no fue posible identificar víctimas específicas.
Si bien la campaña sigue activa y su alcance es considerable, los operadores han recolectado muy poco dinero; después de enviar más de 450 solicitudes de rescate únicas, los hackers han obtenido unos $280,000 USD. Al momento de la publicación del reporte, las billeteras de criptomoneda asociadas ya habían sido vaciadas.
Sobre el método de ataque, los investigadores creen que los hackers usaron un script automatizado para identificar bases de datos expuestas, eliminar la información y exigir el rescate a las víctimas. Además, los hackers podrían haber utilizado una herramienta como Elasticdump para exfiltrar los datos comprometidos, aunque el alto costo de mantener copias de seguridad hace muy posible que los hackers simplemente hayan eliminado estos registros.
Esta actividad maliciosa no es exclusiva de Elasticsearch. En 2020, investigadores de seguridad descubrieron que aproximadamente la mitad de las instancias de MongoDB se vieron expuestas a un ataque similar, con cientos de administradores perdiendo millones de registros almacenados en línea.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.