据报道,由于Elasticsearch数据库安全防护薄弱,被黑客盯上,黑客用赎金票据替换了数据库中的450个索引。需要620美元的赎金,使赎金总额达到279,000美元。威胁者还设定了7天的付款期限,并威胁说在此之后赎金将翻倍。如果他们再过一周都没有得到报酬,他们就会说受害者失去了索引。支付这笔钱的用户将获得一个指向其数据库转储的下载链接,据称这将有助于快速将数据结构恢复到其原始形式。该活动是由Secureworks的威胁分析师发现的,他们确定了450多个单独的赎金支付请求。根据Secureworks的说法,威胁行为者使用自动化脚本来解析未受保护的数据库、擦除数据并添加赎金,因此此操作似乎没有任何人为干预。而这种敲诈勒索活动也不是什么新鲜事。事实上,此前已经发生过多次类似的网络攻击事件,针对其他数据库管理系统的攻击手段如出一辙。付钱给黑客来恢复数据库的内容是不太可能的,因为攻击者实际上无法存储这么多数据库的数据。相反,威胁行为者只是简单地删除未受保护的数据库的内容,并为受害者留下勒索字条。到目前为止,赎金票据中的一个比特币钱包地址已经收到一笔付款。然而,对于数据拥有者来说,遇到这种情况并丢失所有内容,如果不进行定期备份,很容易导致重大的经济损失。虽然一些数据库支持在线服务,但业务中断的风险始终存在,其成本可能远远超过诈骗者索取的小额资金。此外,组织不应排除入侵者窃取数据并以各种方式出售数据的可能性。不幸的是,现在还有很多数据库在没有任何保护的情况下暴露在公众视野中,只要这种情况持续下去,它们就一定会被黑客盯上。Group-IB最近的一份报告显示,2021年将有超过100,000个Elasticsearch实例暴露在网络上,约占2021年暴露数据库总数的30%。根据同一份报告,平均需要170个数据库管理员需要几天时间才能意识到他们犯了一个配置错误,但这样的失误为黑客攻击留下了足够的时间。Secureworks强调任何数据库都不应面向公众。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限限制为仅相关个人。将这些服务外包给云提供商的组织还应确保提供商的安全策略与其标准兼容,并且所有数据都得到充分保护。参考来源:https://www.bleepingcomputer.com/news/security/hundreds-of-elasticsearch-databases-targeted-in-ransom-attacks/
