在MongoDB之后，勒索軟件組暴露了Elasticsearch集群,灰鴿子,遠(yuǎn)程控制軟件

admin

在MongoDB之后，勒索軟件組暴露了Elasticsearch集群,灰鴿子,遠(yuǎn)程控制軟件

超過(guò)600個(gè)Elasticsearch實(shí)例已刪除其數(shù)據(jù)并替換為贖金消息

從數(shù)千個(gè)可公開訪問(wèn)的MongoDB數(shù)據(jù)庫(kù)中刪除數(shù)據(jù)后，勒索軟件組開始對(duì)可從互聯(lián)網(wǎng)訪問(wèn)并且未正確保護(hù)的Elasticsearch集群執(zhí)行相同操作。

Elasticsearch是一個(gè)基于Java的搜索引擎，在企業(yè)環(huán)境中很受歡迎。它通常與日志收集和數(shù)據(jù)分析和可視化平臺(tái)一起使用。

受到勒索軟件攻擊的Elasticsearch集群的第一個(gè)報(bào)告出現(xiàn)在周四的官方支持論壇上，來(lái)自正在運(yùn)行可從Internet訪問(wèn)的測(cè)試部署的用戶。

來(lái)自群集的所有數(shù)據(jù)被擦除，一個(gè)索引留下了贖金消息閱讀：“發(fā)送0.2 BTC到此電子郵件：1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r如果您想要恢復(fù)您的數(shù)據(jù)庫(kù)！發(fā)送此電子郵件您的服務(wù)器IP后發(fā)送比特幣。

Niall Merrigan是一名安全研究人員，他在過(guò)去兩個(gè)星期里一直在跟蹤MongoDB數(shù)據(jù)庫(kù)，類似的方式在Twitter上報(bào)告說(shuō)，到目前為止，超過(guò)600個(gè)Elasticsearch集群已經(jīng)受到影響。

這可能只是一個(gè)開始，因?yàn)橐恍┕烙?jì)數(shù)，可上網(wǎng)的Elasticsearch部署的數(shù)量在35,000左右。擦除的MongoDB數(shù)據(jù)庫(kù)的數(shù)量從幾百幾千增長(zhǎng)到幾千天，受害者的數(shù)量最終達(dá)到34,000多, 遠(yuǎn)程控制, 遠(yuǎn)程控制軟件。

據(jù)專家介紹，沒(méi)有理由將Elasticsearch集群暴露給互聯(lián)網(wǎng)。為了應(yīng)對(duì)這些最近的攻擊，搜索技術(shù)和分布式系統(tǒng)架構(gòu)師Itamar Syn-Hershko發(fā)表了一篇博客文章，其中提出了確保Elasticsearch部署的建議。

“有一個(gè)單頁(yè)應(yīng)用程序需要查詢Elastic并獲得jsons的顯示？通過(guò)一個(gè)軟件外觀，可以做請(qǐng)求過(guò)濾，審計(jì)日志記錄，最重要的是，密碼保護(hù)您的數(shù)據(jù)，”Syn-Hershko說(shuō)。 “沒(méi)有這個(gè)，（a）你肯定綁定到一個(gè)公共IP，你不應(yīng)該，（b）你有風(fēng)險(xiǎn)不必要的更改你的數(shù)據(jù)，（c），最糟糕的 - 你不能控制誰(shuí)訪問(wèn)什么和所有的數(shù)據(jù)是可見(jiàn)的所有人看到。現(xiàn)在發(fā)生了什么現(xiàn)在與那些Elasticsearch集群。

如果您受到這些攻擊的影響，不建議支付贖金，因?yàn)楣�擊者可能�?shí)際上沒(méi)有數(shù)據(jù)。幫助MongoDB受害者的專家報(bào)告，他們?cè)诜��?wù)器日志中沒(méi)有看到在擦除之前被過(guò)濾的數(shù)據(jù)的證據(jù)。

針對(duì)服務(wù)器的反R網(wǎng)攻擊不太可能很快停止，特別是因?yàn)镸ongoDB和Elasticsearch不是通常在互聯(lián)網(wǎng)上不受保護(hù)的唯一類型的數(shù)據(jù)存儲(chǔ)系統(tǒng)。