Esta se trata de una de nuestras noticias vivas, en las que iremos publicando y actualizando la información según vayamos obteniéndola.

Hace dos días, alertábamos por nuestra cuenta de Twitter y nuestro canal de Telegram de que habíamos localizado un nuevo gusano, al que hemos bautizado como «Elasticworm«, que buscaba servidores abiertos de Elasticsearch y eliminaba los índices con datos, creando nuevos índices vacíos con un nombre aleatorio, al final de los cuales añade el sufico «-meow».

En ese momento, unos 200 servidores ya tenían puesta dicha «etiqueta».

Pues bien, hoy hemos vuelto a mirar, después de dos días, y más de 1.300 servidores de Elasticsearch han sido «infectados» (un incremento de +1.100 servidores en este tiempo).

Además, el gusano ha penetrado en más de 370 servidores de MongoDB y más de 50 servidores de Redis.


Un día después de la publicación volvemos a actualizar la noticia ya que el número de servidores de Elasticsearch infectados se ha incrementado en +1.000 en sólo 24 horas, alcanzando ya la cifra de 2.346 servidores infectados, 5 de ellos en España.

La finalidad de elasticworm no parece ser otra que la de destruir la información que contienen los servidores, y puede que estemos ante un caso de alguna(s) persona(s) que hayan decidido probar sus capacidades y estén haciéndolo únicamente porque pueden y es sencillo.

Mientras tanto, Marc Almeida, nos ha hecho llegar esta lista de querys e IP’s relacionadas con elasticworm que ha encontrado hasta el momento.

Image
Fuente |Twitter

Como no tiene pinta de que vaya a remitir el ataque, seguiremos buscando y recopilando información.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

Si te gusta la labor que realizamos a diario…

AUTOR