Especialistas de un curso de pentest reportan que, durante los más recientes días, un hacker ha estado irrumpiendo indebidamente en servidores de Elasticsearch expuestos en Internet para eliminar su contenido, culpando de ello a una empresa de ciberseguridad. John Wethington, experto en ciberseguridad que ha estado dando seguimiento al caso, asegura que toco comenzó el 24 de marzo.

Al parecer, el hacker detrás de esta campaña ha estado empleando un script automatizado para escanear en Internet en busca de estas implementaciones de Elasticsearch sin protecciones, conectándose a las bases de datos para eliminar el contenido y, finalmente, crear un nuevo índice (sin contenido alguno) con el nombre de nightlionsecurity.com. Este índice también ha sido encontrado en algunas implementaciones de Elasticsearch con contenido intacto, por lo que los especialistas creen que el ataque no funciona en todos los casos.

El nombre del índice dejado por el hacker fue inmediatamente vinculado con Night Lion Security, una firma de ciberseguridad que imparte un curso de pentest. Al respecto, Vinny Troia, fundador de la compañía, asegura que Night Lion no tiene nada que ver con estos ataques. En una entrevista posterior, Troia afirma que estos ataques son responsabilidad de un hacker que ha estado investigando desde hace años, quien podría estar cobrando venganza por un libro que escribió Troia. 

Aunque al principio muchos miembros de la comunidad de la ciberseguridad consideraron estos ataques como una broma, esto ya ha dejado de ser gracioso. Hasta el momento, se conoce de al menos 15 mil implementaciones de Elasticsearch atacadas; esta no es la única preocupación en la comunidad, pues se conocen al menos 35 mil servidores de Elasticsearch que podrían estar expuestos.

Investigadores, expertos del curso de pentest y firmas de seguridad ya han notificado a Elasticsearch, así como a las autoridades competentes; la compañía está en proceso de implementar algunas medidas para mitigar el alcance de estos ataques.

Por si no fuera suficiente, el Instituto Internacional de Seguridad Cibernética (IICS) ha identificado a un segundo actor de amenazas atacando implementaciones de Elasticsearch. El hacker (o grupo de hackers) detrás de esta campaña compromete la seguridad de las bases de datos para dejar un mensaje en el que se informa a los administradores que han sido hackeados, dejando además una dirección email para acordar un pago a cambio de restablecer el acceso. Sólo se conocen 40 casos relacionados con esta campaña, aunque no se descarta que el número incremente en los próximos días.

Fuente: noticiasseguridad.com

Compartir