在MongoDB之后，勒索软件组暴露了Elasticsearch集群,灰鸽子,远程控制软件

admin

在MongoDB之后，勒索软件组暴露了Elasticsearch集群,灰鸽子,远程控制软件

超过600个Elasticsearch实例已删除其数据并替换为赎金消息

从数千个可公开访问的MongoDB数据库中删除数据后，勒索软件组开始对可从互联网访问并且未正确保护的Elasticsearch集群执行相同操作。

Elasticsearch是一个基于Java的搜索引擎，在企业环境中很受欢迎。它通常与日志收集和数据分析和可视化平台一起使用。

受到勒索软件攻击的Elasticsearch集群的第一个报告出现在周四的官方支持论坛上，来自正在运行可从Internet访问的测试部署的用户。

来自群集的所有数据被擦除，一个索引留下了赎金消息阅读：“发送0.2 BTC到此电子邮件：1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r如果您想要恢复您的数据库！发送此电子邮件您的服务器IP后发送比特币。

Niall Merrigan是一名安全研究人员，他在过去两个星期里一直在跟踪MongoDB数据库，类似的方式在Twitter上报告说，到目前为止，超过600个Elasticsearch集群已经受到影响。

这可能只是一个开始，因为一些估计数，可上网的Elasticsearch部署的数量在35,000左右。擦除的MongoDB数据库的数量从几百几千增长到几千天，受害者的数量最终达到34,000多, 远程控制, 远程控制软件。

据专家介绍，没有理由将Elasticsearch集群暴露给互联网。为了应对这些最近的攻击，搜索技术和分布式系统架构师Itamar Syn-Hershko发表了一篇博客文章，其中提出了确保Elasticsearch部署的建议。

“有一个单页应用程序需要查询Elastic并获得jsons的显示？通过一个软件外观，可以做请求过滤，审计日志记录，最重要的是，密码保护您的数据，”Syn-Hershko说。 “没有这个，（a）你肯定绑定到一个公共IP，你不应该，（b）你有风险不必要的更改你的数据，（c），最糟糕的 - 你不能控制谁访问什么和所有的数据是可见的所有人看到。现在发生了什么现在与那些Elasticsearch集群。

如果您受到这些攻击的影响，不建议支付赎金，因为攻击者可能实际上没有数据。帮助MongoDB受害者的专家报告，他们在服务器日志中没有看到在擦除之前被过滤的数据的证据。

针对服务器的反R网攻击不太可能很快停止，特别是因为MongoDB和Elasticsearch不是通常在互联网上不受保护的唯一类型的数据存储系统。