在MongoDB之后,赎金软件群体击中了暴露的弹星搜索群集
删除来自数千名可公开访问的MongoDB数据库的数据后,Ransomware组已开始与可从Internet访问的弹性搜索群集执行相同的操作,并且未正确保护。
Elasticsearch是一种基于Java的搜索引擎,即在企业环境中流行。它通常与日志收集和数据分析和可视化平台一起使用。
由Ransomware击中的Elasticsearch集群的第一份报告周四出现在运行从Internet访问的测试部署的用户的官方支持论坛上。
群集的所有数据都被擦除,并留下了单个索引,ransom消息读取:“向此钱包发送0.2 BTC:1dasgy4kt1a4lctpmh5vm5pqx32ezmot4r如果要恢复数据库!发送比特币后,将服务器IP发送给此电子邮件。“
Niall Merrigan是一名安全研究员,一直在过去的两周内以类似的方式擦拭MongoDB数据库的安全研究员,在Twitter上报道了超过600个弹星搜索集群的影响。
这可能只是一开始,因为某些估计将互联网可访问的弹性搜索部署数量约为35,000。在几天之内,擦拭MongoDB数据库的数量从几百到数千年增加到超过34,000多百万次。
据专家介绍,没有理由将弹星搜索集群暴露给互联网。为了响应这些最近的攻击,搜索技术和分布式系统架构师Itamar Syn-Hershko发布了一个博客文章,以确保弹性咨询部署的建议。
“有一个需要查询弹性的页面应用程序并获取JSONs进行显示?通过一个可以做出请求过滤,审计记录以及最重要的,密码保护数据的软件外观,“Syn-Hershko表示。“没有那个,(a)你肯定是绑定到公共IP,你应该应该”t,(b)你冒着对你的数据的不需要的变化,(c)和最坏的情况 - 你可以控制谁访问的是什么和所有数据都可以看到所有数据。只是用那些弹星搜索群集现在正在发生的事情。“
如果您“重新受到这些攻击的影响,则不推荐支付赎金,因为攻击者可能没有实际具有数据。帮助MongoDB受害者的专家报告说,他们在擦除之前在服务器的服务器日志中看到没有证据。
在服务器上指示的赎金软件攻击不太可能随时停止,特别是因为MongoDB和Elasticsearch不是唯一在Internet上不受保护的数据存储系统类型。
