前言
据报道,Elasticsearch
因安全防护薄弱而被黑客盯上。用勒索信替换了450个索引,并要求用户支付620美元来恢复其内容,总赎金已高达279,000美元。
黑客威胁
威胁行为者还设置了7天的付款期限,并威胁如果未按期付款,则之后赎金将增加一倍。如果再过一周没有收到付款,受害者将会丢失他们的索引。而支付了赎金的用户将得到一个指向他们数据库转储的链接。据称,这将有助于他们快速恢复数据的原始结构。
事件过程
发现
该活动是由Secureworks
的威胁分析师发现,他们确定了450多个个人赎金的支付请求。
攻击过程
据Secureworks
称,威胁行为者使用自动化脚本来解析未受保护的数据库,擦除其数据并添加勒索信。该过程中无需任何人工干预。
类似行为
这种勒索活动已经不是什么新鲜事,在此之前就发生过多起类似的网络攻击,并且针对其他数据库管理系统的攻击手段也是如出一辙。通过想黑客支付赎金来恢复数据库内容是不太可能的情况,因为攻击者无法存储这么多数据库的数据。
相反,威胁者只是删除未受保护的数据库中的内容并留下勒索信,并以此来让受害者相信他们的说法。到目前为止,在勒索信中的一个比特币钱包中,已经收到了一笔付款。
但是,对于数据所有者来说,如果他们不进行定期的备份,那么这种被擦除而丢失的内容很有可能导致重大的经济损失。其中一些数据库支持在线服务,存在业务中断的风险,其成本可能远远高于威胁者要求的赎金金额。此外,不排除入侵者窃取数据并以各种方式将其变卖的可能性。
Elasticsearch 暴露现状
不幸的是,只要数据库无任何保护的前提下暴露在公众之前,那么这种情况就会继续存在,并被黑客所攻击。
Group-IB
最近的一份报告显示,2021
年网络上暴露的Elasticsearch
实例超过10
万个,约占2021
年暴露数据库总数的30%
。
根据同一份报告,数据库管理员平均需要
170
天才能意识到他们犯了配置错误,但这种失误已经给黑客留下了足够的攻击时间。
防范措施
正如Secureworks
强调的,任何数据库都不应该是面向公众的,除非是不可避免的。此外,如果需要远程访问,管理员应为授权用户设置多因素身份验证,并将访问权限集中仅限于相关个人。
将这些服务外包给云服务商的组织,应确保供应商的安全策并与其标准兼容,来确保所有数据得到充分保护。