|
在MongoDB之后,勒索软件组暴露了Elasticsearch集群,灰鸽子,远程控制软件
超过600个Elasticsearch实例已删除其数据并替换为赎金消息
从数千个可公开访问的MongoDB数据库中删除数据后,勒索软件组开始对可从互联网访问并且未正确保护的Elasticsearch集群执行相同操作。
Elasticsearch是一个基于Java的搜索引擎,在企业环境中很受欢迎。它通常与日志收集和数据分析和可视化平台一起使用。
受到勒索软件攻击的Elasticsearch集群的第一个报告出现在周四的官方支持论坛上,来自正在运行可从Internet访问的测试部署的用户。
来自群集的所有数据被擦除,一个索引留下了赎金消息阅读:“发送0.2 BTC到此电子邮件:1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r如果您想要恢复您的数据库!发送此电子邮件您的服务器IP后发送比特币。
Niall Merrigan是一名安全研究人员,他在过去两个星期里一直在跟踪MongoDB数据库,类似的方式在Twitter上报告说,到目前为止,超过600个Elasticsearch集群已经受到影响。
这可能只是一个开始,因为一些估计数,可上网的Elasticsearch部署的数量在35,000左右。擦除的MongoDB数据库的数量从几百几千增长到几千天,受害者的数量最终达到34,000多, 远程控制, 远程控制软件。
据专家介绍,没有理由将Elasticsearch集群暴露给互联网。为了应对这些最近的攻击,搜索技术和分布式系统架构师Itamar Syn-Hershko发表了一篇博客文章,其中提出了确保Elasticsearch部署的建议。
“有一个单页应用程序需要查询Elastic并获得jsons的显示?通过一个软件外观,可以做请求过滤,审计日志记录,最重要的是,密码保护您的数据,”Syn-Hershko说。 “没有这个,(a)你肯定绑定到一个公共IP,你不应该,(b)你有风险不必要的更改你的数据,(c),最糟糕的 - 你不能控制谁访问什么和所有的数据是可见的所有人看到。现在发生了什么现在与那些Elasticsearch集群。
如果您受到这些攻击的影响,不建议支付赎金,因为攻击者可能实际上没有数据。帮助MongoDB受害者的专家报告,他们在服务器日志中没有看到在擦除之前被过滤的数据的证据。
针对服务器的反R网攻击不太可能很快停止,特别是因为MongoDB和Elasticsearch不是通常在互联网上不受保护的唯一类型的数据存储系统。
|
|