Fue solo cuestión de tiempo hasta que los grupos de ransomware que borraron datos de miles de bases de datos de MongoDB y los clústeres de Elasticsearch comenzaran a apuntar a otras tecnologías de almacenamiento de datos. Los investigadores ahora están observando ataques destructivos similares  golpeando implementaciones accesibles de Hadoop y de CouchDB.

Los investigadores de seguridad, Victor Gevers y Niall Merrigan, que han monitoreado los ataques de MongoDB y Elasticsearch hasta ahora, también han comenzado a rastrear a las nuevas víctimas de Hadoop y CouchDB. Los dos han reunido hojas de cálculo en Documentos de Google donde registraron las diferentes firmas de ataque y los mensajes que dejan después de que los datos se borren de las bases de datos.

En el caso de Hadoop, un framework utilizado para el almacenamiento distribuido y el procesamiento de grandes conjuntos de datos, los ataques observados hasta ahora pueden ser descritos como vandalismo.

Esto se debe a que los atacantes no piden que se realicen pagos a cambio de devolver los datos eliminados. En vez de ello, su mensaje indica a los administradores de Hadoop que aseguren sus implementaciones en el futuro.

De acuerdo con el último recuento de Merrigan, 126 instancias de Hadoop han sido borradas hasta el momento. El número de víctimas es probable que aumente porque hay miles de implementaciones de Hadoop accesibles desde Internet, aunque es difícil decir cuántas son vulnerables.

Los ataques contra MongoDB y Elasticsearch siguieron un patrón similar. El número de víctimas de MongoDB creció de cientos a miles en cuestión de horas y a decenas de miles en una semana. El último recuento pone el número de bases de datos MongoDB borradas en más de 34 mil y el de clústeres eliminados de Elasticsearch en más de 4,600.

Un grupo llamado Kraken0, responsable de la mayoría de los ataques de ransomware contra bases de datos, está tratando de vender su kit de herramientas de ataque y una lista de instalaciones vulnerables de MongoDB y Elasticsearch por el equivalente a 500 dólares en bitcoins.

El número de bases de datos de CouchDB borradas también está creciendo rápidamente, llegando a más de 400 hasta el momento. CouchDB es una plataforma de base de datos “NoSQL-style” muy similar a MongoDB.

A diferencia del vandalismo de Hadoop, los ataques de CouchDB van acompañados de mensajes de rescate, con atacantes pidiendo 0.1 bitcoins (alrededor de 100 dólares) para devolver los datos. Se aconseja a las víctimas no pagar porque, en muchos de los ataques de MongoDB, no había pruebas de que los atacantes hubieran copiado los datos antes de eliminarlos.

Los investigadores de Fidelis Cybersecurity también han observado los ataques de Hadoop y han publicado una entrada en un blog con más detalles y recomendaciones sobre cómo asegurar dichas implementaciones.

Los ataques destructivos contra los sistemas de almacenamiento de base de datos en línea no es probable que se detenga pronto porque hay otras tecnologías que aún no han sido objetivo y que podrían estar similarmente mal configuradas y estar desprotegidas en Internet.