Глава компании Comparitech и известный ИБ-эксперт Боб Дьяченко обнаружил странную волну атак на незащищенные установки Elasticsearch и MongoDB. 

Все началось с базы данных VPN-провайдера UFO VPN. Недавно  эта компания допустила массовую утечку пользовательских данных, так как хранила свои логи практически в открытом доступе. Хотя провайдер пытался переместить проблемную базу данных в другое место, обеспечить ей надлежащую защиту так и не удалось. Дьяченко продолжал наблюдать за ситуацией и заметил, что в начале текущей недели БД провайдера была уничтожена: хакеры стерли ее содержимое, оставив после себя только слово «мяу». 

Такие «мяукающие» атаки появились несколько дней назад и представляют собой автоматизированный скрипт, который полностью перезаписывает или уничтожает данные в незащищенных БД.

В настоящее время, по данным Shodan, стоящие за этими атаками злоумышленники стерли более 1000 баз данных: пострадали 1337 установок ElasticSearch и более 370 установок MongoDB. Кроме того исследователи заметили еще одну атаку, из-за которой 616 файлов ElasticSearch, MongoDB и Cassandra были помечены строкой «university_cybersec_experiment». Судя по всему, в этом случае атакующие лишь предупреждают владельцев незащищенных БД о проблеме и демонстрируют, что файлы уязвимы для просмотра и удаления.