據(jù)報(bào)道，因?yàn)镋lasticsearch數(shù)據(jù)庫(kù)安全防護(hù)薄弱的緣故，導(dǎo)致其被黑客盯上，并被黑客用勒索信替換了其數(shù)據(jù)庫(kù)的450個(gè)索引，如需恢復(fù)則需要支付贖金620美元，而總贖金打起來(lái)則達(dá)到了279,000美元。威脅行為者還設(shè)置了7天付款期限，并威脅在此之后贖金將增加一倍。如果再過(guò)一周沒(méi)有得到報(bào)酬，他們說(shuō)受害者會(huì)丟失索引。而支付了這筆錢的用戶將得到一個(gè)下載鏈接，鏈接到他們的數(shù)據(jù)庫(kù)轉(zhuǎn)儲(chǔ)，據(jù)稱這將有助于快速恢復(fù)數(shù)據(jù)結(jié)構(gòu)的原始形式。

該活動(dòng)是由 Secureworks 的威脅分析師發(fā)現(xiàn)的，他們確定了450多個(gè)單獨(dú)的贖金支付請(qǐng)求。根據(jù)Secureworks的說(shuō)法，威脅行為者使用一種自動(dòng)腳本來(lái)解析未受保護(hù)的數(shù)據(jù)庫(kù)，擦除數(shù)據(jù)，并添加贖金，所以在這次行動(dòng)中似乎沒(méi)有任何人工干預(yù)。

而這種勒索活動(dòng)并不是什么新鮮事，其實(shí)之前已經(jīng)發(fā)生過(guò)多起類似的網(wǎng)絡(luò)攻擊，而且針對(duì)其他數(shù)據(jù)庫(kù)管理系統(tǒng)的攻擊手段也如出一轍。通過(guò)支付黑客費(fèi)用來(lái)恢復(fù)數(shù)據(jù)庫(kù)內(nèi)容是不太可能的情況，因?yàn)楣粽咂鋵?shí)無(wú)法存儲(chǔ)這么多數(shù)據(jù)庫(kù)的數(shù)據(jù)。

相反，威脅者只是簡(jiǎn)單地刪除不受保護(hù)的數(shù)據(jù)庫(kù)中的內(nèi)容，并給受害者留下一張勒索信。到目前為止，在勒索信中看到的一個(gè)比特幣錢包地址已經(jīng)收到了一筆付款。但是，對(duì)于數(shù)據(jù)所有者來(lái)說(shuō)，如果他們不進(jìn)行定期備份，那么遇到這種情況并丟失所有內(nèi)容就很可能會(huì)導(dǎo)致重大的經(jīng)濟(jì)損失。雖然一些數(shù)據(jù)庫(kù)支持在線服務(wù)，不過(guò)總有業(yè)務(wù)中斷的風(fēng)險(xiǎn)，其成本可能遠(yuǎn)遠(yuǎn)高于騙子要求的小額金額。此外，機(jī)構(gòu)不應(yīng)該排除入侵者竊取數(shù)據(jù)并以各種方式變賣數(shù)據(jù)的可能性。

不幸的是，還是有很多數(shù)據(jù)庫(kù)在無(wú)任何保護(hù)的前提下暴露在公眾視野前，只要這種情況繼續(xù)存在，那它們肯定就會(huì)被黑客盯上。Group-IB最近的一份報(bào)告顯示，2021年網(wǎng)絡(luò)上暴露的 Elasticsearch 實(shí)例超過(guò)10萬(wàn)個(gè)，約占2021年暴露數(shù)據(jù)庫(kù)總數(shù)的30%。根據(jù)同一份報(bào)告，數(shù)據(jù)庫(kù)管理員平均需要170天才能意識(shí)到他們犯了配置錯(cuò)誤，但這種失誤已經(jīng)給黑客留下了足夠的攻擊時(shí)間。

Secureworks強(qiáng)調(diào)，任何數(shù)據(jù)庫(kù)都不應(yīng)該是面向公眾的。此外，如果需要遠(yuǎn)程訪問(wèn)，管理員應(yīng)為授權(quán)用戶設(shè)置多因素身份驗(yàn)證，并將訪問(wèn)權(quán)限僅限于相關(guān)個(gè)人。如果將這些服務(wù)外包給云提供商的機(jī)構(gòu)，也應(yīng)確保供應(yīng)商的安全政策與他們的標(biāo)準(zhǔn)兼容，并確保所有數(shù)據(jù)得到充分保護(hù)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/hundreds-of-elasticsearch-databases-targeted-in-ransom-attacks/