数百个Elasticsearch数据库遭到勒索攻击

前言

据报道,Elasticsearch因安全防护薄弱而被黑客盯上。用勒索信替换了450个索引,并要求用户支付620美元来恢复其内容,总赎金已高达279,000美元。

黑客威胁

威胁行为者还设置了7天的付款期限,并威胁如果未按期付款,则之后赎金将增加一倍。如果再过一周没有收到付款,受害者将会丢失他们的索引。而支付了赎金的用户将得到一个指向他们数据库转储的链接。据称,这将有助于他们快速恢复数据的原始结构。

事件过程

发现

该活动是由Secureworks的威胁分析师发现,他们确定了450多个个人赎金的支付请求。

攻击过程

Secureworks称,威胁行为者使用自动化脚本来解析未受保护的数据库,擦除其数据并添加勒索信。该过程中无需任何人工干预。 数百个Elasticsearch数据库遭到勒索攻击

类似行为

这种勒索活动已经不是什么新鲜事,在此之前就发生过多起类似的网络攻击,并且针对其他数据库管理系统的攻击手段也是如出一辙。通过想黑客支付赎金来恢复数据库内容是不太可能的情况,因为攻击者无法存储这么多数据库的数据。

相反,威胁者只是删除未受保护的数据库中的内容并留下勒索信,并以此来让受害者相信他们的说法。到目前为止,在勒索信中的一个比特币钱包中,已经收到了一笔付款。

数百个Elasticsearch数据库遭到勒索攻击

但是,对于数据所有者来说,如果他们不进行定期的备份,那么这种被擦除而丢失的内容很有可能导致重大的经济损失。其中一些数据库支持在线服务,存在业务中断的风险,其成本可能远远高于威胁者要求的赎金金额。此外,不排除入侵者窃取数据并以各种方式将其变卖的可能性。

Elasticsearch 暴露现状

不幸的是,只要数据库无任何保护的前提下暴露在公众之前,那么这种情况就会继续存在,并被黑客所攻击。

Group-IB最近的一份报告显示,2021年网络上暴露的Elasticsearch实例超过10万个,约占2021年暴露数据库总数的30%

数百个Elasticsearch数据库遭到勒索攻击 根据同一份报告,数据库管理员平均需要170天才能意识到他们犯了配置错误,但这种失误已经给黑客留下了足够的攻击时间。

防范措施

正如Secureworks强调的,任何数据库都不应该是面向公众的,除非是不可避免的。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限集中仅限于相关个人。

将这些服务外包给云服务商的组织,应确保供应商的安全策并与其标准兼容,来确保所有数据得到充分保护。

更多信息:www.bleepingcomputer.com/news/securi…

发表评论

相关文章