Esta se trata de una de nuestras noticias vivas, en las que iremos publicando y actualizando la información según vayamos obteniéndola.
Hace dos días, alertábamos por nuestra cuenta de Twitter y nuestro canal de Telegram de que habíamos localizado un nuevo gusano, al que hemos bautizado como “Elasticworm“, que buscaba servidores abiertos de Elasticsearch y eliminaba los índices con datos, creando nuevos índices vacíos con un nombre aleatorio, al final de los cuales añade el sufico “-meow”.
En ese momento, unos 200 servidores ya tenían puesta dicha “etiqueta”.
Pues bien, hoy hemos vuelto a mirar, después de dos días, y más de 1.300 servidores de Elasticsearch han sido “infectados” (un incremento de +1.100 servidores en este tiempo).
Además, el gusano ha penetrado en más de 370 servidores de MongoDB y más de 50 servidores de Redis.
Un día después de la publicación volvemos a actualizar la noticia ya que el número de servidores de Elasticsearch infectados se ha incrementado en +1.000 en sólo 24 horas, alcanzando ya la cifra de 2.346 servidores infectados, 5 de ellos en España.
La finalidad de elasticworm no parece ser otra que la de destruir la información que contienen los servidores, y puede que estemos ante un caso de alguna(s) persona(s) que hayan decidido probar sus capacidades y estén haciéndolo únicamente porque pueden y es sencillo.
Mientras tanto, Marc Almeida, nos ha hecho llegar esta lista de querys e IP’s relacionadas con elasticworm que ha encontrado hasta el momento.
Como no tiene pinta de que vaya a remitir el ataque, seguiremos buscando y recopilando información.
___________________________________
Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.
Si te gusta la labor que realizamos a diario…
[…] Podéis ver más en el artículo anterior de Elasticworm. […]