ElasticSearch, самая популярная поисковая система предприятия для анализа данных, стала новой мишенью киберпреступников. Серверы со слабыми паролями были угнаны и проведены с целью получения выкупа группой мошенников, которые просто атаковали тысячи баз данных MongoDB несколько дней назад.

Кластеры ElasticSearch были удалены и проведены для выкупа $ 181 на сумму Bitcoin.

В прошлом четверге, 12 января 2017, владелец сервера размещен на форуме ElasticSearch, заявив, что хакеры удалили все данные тестового кластера ElasticSearch и оставили сообщение следующего содержания:

Этот метод атаки был таким же, как используемый на MongoDB. На момент написания, это адрес Bitcoin уже получил два платежа с требованием выкупа.

Число взломанных серверов растет с большим количеством хакеров, соединяющих в атаке.

По данным исследователя Ниалла Мерригана (Niall Merrigan), который следовал эту атаку , первая атака находится на 12 января, в качестве цели злоумышленники избрали не имеющие надлежащей защиты кластеры Elasticsearch с сетевым доступом. Более 600 серверов ElasticSearch были зарегистрированы под угрозу, и злоумышленники постоянно атаковают неаутентифицированных системы с тех пор.

Другой исследователь безопасности Victor Gevers также чирикал, «В течение 3-х дней 2,515 Elasticsearches были уничтожены и выкупили. 34,298 уязвимых Elasticsearches еще открыты. ”

Еlastic.co: Атака выкупа легко предотвращена с помощью правильной конфигурации.

Поставщик услуг бизнес-решений ElasticSearch, elastic.co, сделал заявление. Как хакеры не используют каких-либо уязвимостей продукта или используют вредоносное ПО для проведения атаки, потери данных от подобных инцидентов в области безопасности можно легко предотвращены с помощью правильной конфигурации.

Пользователям рекомендуется предпринять следующие шаги, чтобы защитить свои данные:

— Резервное копирование всех данных в безопасное место и рассмотреть резервное копирование данных и средства восстановления, как Куратор снимки.

— Запустить ElasticSearch на изолированной немаршрутизируемой сети.

— Не напрямую подвергать кластер к Интернету. Использование технологий, таких как межсетевой экран, VPN, обратный прокси-сервер, чтобы ограничить доступ к нему.