ElasticSearch, самая популярная поисковая система предприятия для анализа данных, стала новой мишенью киберпреступников. Серверы со слабыми паролями были угнаны и проведены с целью получения выкупа группой мошенников, которые просто атаковали тысячи баз данных MongoDB несколько дней назад.
Кластеры ElasticSearch были удалены и проведены для выкупа $ 181 на сумму Bitcoin.
В прошлом четверге, 12 января 2017, владелец сервера размещен на форуме ElasticSearch, заявив, что хакеры удалили все данные тестового кластера ElasticSearch и оставили сообщение следующего содержания:
Отправьте 0,2 биткойна на кошелек 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r, если хотите восстановить базу данных. После оплаты отправьте IP-адрес вашего сервера на указанный почтовый адрес. |
Этот метод атаки был таким же, как используемый на MongoDB. На момент написания, это адрес Bitcoin уже получил два платежа с требованием выкупа.
Число взломанных серверов растет с большим количеством хакеров, соединяющих в атаке.
По данным исследователя Ниалла Мерригана (Niall Merrigan), который следовал эту атаку , первая атака находится на 12 января, в качестве цели злоумышленники избрали не имеющие надлежащей защиты кластеры Elasticsearch с сетевым доступом. Более 600 серверов ElasticSearch были зарегистрированы под угрозу, и злоумышленники постоянно атаковают неаутентифицированных системы с тех пор.
Другой исследователь безопасности Victor Gevers также чирикал, «В течение 3-х дней 2,515 Elasticsearches были уничтожены и выкупили. 34,298 уязвимых Elasticsearches еще открыты. ”
Еlastic.co: Атака выкупа легко предотвращена с помощью правильной конфигурации.
Поставщик услуг бизнес-решений ElasticSearch, elastic.co, сделал заявление. Как хакеры не используют каких-либо уязвимостей продукта или используют вредоносное ПО для проведения атаки, потери данных от подобных инцидентов в области безопасности можно легко предотвращены с помощью правильной конфигурации.
Пользователям рекомендуется предпринять следующие шаги, чтобы защитить свои данные:
— Резервное копирование всех данных в безопасное место и рассмотреть резервное копирование данных и средства восстановления, как Куратор снимки.
— Запустить ElasticSearch на изолированной немаршрутизируемой сети.
— Не напрямую подвергать кластер к Интернету. Использование технологий, таких как межсетевой экран, VPN, обратный прокси-сервер, чтобы ограничить доступ к нему.