Elasticworm, también conocido como «meow», es un gusano que se dedica a descargarse bases de datos de elasticsearch, y después piden un rescate. Si no se efectúa un pago en 7 días, hacen todos los datos públicos.

Podéis ver más en el artículo anterior de Elasticworm.

Este grupo se caracteriza por dejar un mensaje en el que pone “you_base_was_hacked_and_dumped”, los correos electrónicos relacionados con esta amenaza son los siguientes:

wegeturdb@criptext.com

wegetyourdb@protonmail.ch

Además del mensaje anterior y de dejar sus correos de contacto, dejan un mensaje en el que dicen que tienen 7 días para contactar o si no, sus datos serán expuestos.

Podemos encontrar también a este usuario en Telegram, usuario @wegeturdb.

Este actor se está especializando en ataques a diversas bases de datos, y el mismo, se autodenomina como «Data Stealer«

En la siguiente foto se ve indexado un servidor en Google, que fue víctima y que pertenece a una universidad de Rumanía.

Desde Derecho de la Red, hemos hecho unas búsquedas con Google Dorks, y hemos encontrado algunos resultados como por ejemplo la siguiente foto. En ésta se ve indexado un servidor en Google de una víctima y que pertenece a una universidad de Rumanía.

De esta IP, buscando por curiosidad, encontramos el leak de información. Un pequeño ejemplo de los nombres de las colecciones extraídas por los atacantes:

Este servidor actualmente está activo, por lo que con una pequeña búsqueda podemos llegar a ver los logs del servidor.

En las siguientes imagines vemos los logs del servidor en los que se ve como actúa el malware sustituyendo los archivos. Aquí podemos intuir como realiza estos cambios y podemos ver también la famosa extensión meow.

Este actor deja además un mensaje con las instrucciones para recuperar los datos, realizar los pagos, etc. Instrucciones:

hxxps://www.writeurl.com/text/l5dt59qj1y2d6ukt3b1i/07qzqtjlv6xawt834l3q

Hemos detectado diversos hilos que recogen datos de estos leaks y hablan sobre los mismos en varios foros.

Seguimos buscando un poco, algunas IPs vulneradas nos llaman la atención, es el caso de otro de los servidores detectados. Tras mirar un poco la estructura del mismo y los puertos abiertos, este servidor en concreto tenía varios servicios activos, nos llamó la atención el puerto 8123.

¿Esta es la casa de alguien? 😛

La mayoría de los casos tienen mal configurados los servicios de elastic o mongo, dejando visibles accesos que deberían estar restringidos «de puertas pa fuera«. Destaca por ejemplo el puerto 9100.

El puerto 9100 suele habilitarse por convenio para la comunicación interna entre nodos, como capa de red de transporte. Por ejemplo para las solicitudes “HTTP GET”.

Para l@s lector@s que quieran ver esto con mayor profundidad, os facilitamos la documentación oficial:

https://www.elastic.co/guide/en/elasticsearch/reference/current/modules-transport.html

El total, día de hoy, los resultados en Shodan son de 1468. Se ha producido una bajada en los mismos con respecto al anterior artículo porque muchos de estos servidores se han cerrado tras el hackeo.

China y EEUU son los dos países más afectados y según el proveedor chino alternativa de Shodan, FOFA, son unos 1044 los afectados, siendo China y EEUU los más afectados también.

Es interesante comparar ambas bases de conocimiento pues los datos varían el uno con respecto del otro esto nos permite hacernos una idea aún mayor del alcance, pues la posible pérdida de datos es menor.

Comparativa entre los dos proveedores (a la izquierda Shodan y a la derecha FOFA).

Mapa del mundo ampliado con datos sobre esta amenaza:

Hasta ahora no disponemos de más información, os actualizaremos con más información relevante. Si os ha gustado, compartidlo, y nos vemos, en el siguiente artículo.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR

Acerca de Luis Diago de Aguilar

Senior Security Consultant, Cyber Security & IT Governance | Derecho de la Red & t.me/cti_espana | Programador | Cibercooperante

Categoría

CiberInteligencia, Cyber, Noticia, Recurso