LEBIGDATA.FR I.A, Cloud & Cybersécurité
Le malware Meow cherche les bases de données exposées sur la toile et mal sécurisées afin de les détruire, sans explication apparente. Plus de 4000 databases ont déjà été effacées en quelques jours…
Vous le savez peut-être déjà : les bases de données mal configurées et mal sécurisées, exposées sur le web, représentent une véritable aubaine pour les cybercriminels. Une grande partie des fuites de données est aujourd'hui liée à de telles négligences.
À présent, un nouveau danger vient d'émerger pour les entreprises qui sécurisent mal leurs bases de données. La cyberattaque automatisée » Meow « a déjà détruit des centaines de databases accessibles sur le web.
Tout a commencé récemment, avec la destruction d'instances Elasticsearch et MongoDB. Les propriétaires ont été laissés dans la confusion la plus totale, puisqu'aucune note de rançon ni même une explication n'ont été laissées.
L'une des premières victimes connues est un fournisseur VPN, dont la base de données Elasticsearch ma sécurisée a d'abord été découverte par le chercheur Bob Diachenko. Son propriétaire s'est empressé de la sécuriser, mais elle a été de nouveau exposée cinq jours plus tard.
Malheureusement, la deuxième fois, l'entreprise n'a pas eu la chance d'être avertie et secourue par un chercheur. C'est le malware Meow qui a trouvé la base de données et l'a entièrement supprimée.
Par la suite, cette vague d'attaques s'est étendue à d'autres types de bases de données et de systèmes fichiers. Les bases de données Cassandra, CouchDB, Redis, Hadoop, Jenkins, Apache ZooKeeper et même les appareils NAS sont pris pour cible.
Fin juillet 2020, plus de 4000 bases de données ont déjà été effacées par Meow. Les databases Elasticsearch et MongoDB semblent être les plus impactées, et représentent 97% des victimes.
Les chercheurs en sécurité sont lancés dans une course contre Meow
The #meow attack is going thru @protonvpn, not sure how many origin IPs there are. From the logs in MongoDB you can see it drops databases first then create new ones with $randomstring-meow @MayhemDayOne @BleepinComputer #infosec pic.twitter.com/49dnVOGyq7
— Anthr@X (@anthrax0) July 24, 2020
Selon les chercheurs, cette attaque Meow serait en fait un script automatisé qui écrase ou détruit totalement les données. Pour l'heure, on ignore qui est le cybercriminel à l'origine de ces attaques et quel est son objectif. Pour dissimuler son identité, le hacker utilise une adresse IP ProtonVPN.
Le malware semble déployé contre n'importe quelle base de données mal sécurisée et exposée sur le web. Le but pourrait être en réalité de donner une bonne leçon aux administrateurs de bases de données, en leur apprenant dans la douleur l'importance de la sécurisation.
Cependant, même si cette intention est louable, de précieuses données risquent d'être détruites. Les conséquences peuvent donc être désastreuses pour les victimes.
Pour éviter ce triste sort aux entreprises, les chercheurs en sécurité du monde entier sont lancés dans une véritable course contre la cyberattaque Meow. Leur objectif est de découvrir les bases de données mal sécurisées et d'avertir leurs administrateurs avant que le malware ne les trouve et les efface définitivement.
Si vous gérez des bases de données, il est plus important que jamais de vous assurer qu'elles soient correctement configurées et que seuls les éléments nécessaires soient exposés. Dans le cas contraire, vos données risquent de disparaitre à tout jamais…
- Partager l'article :
