據(jù)報道，因為Elasticsearch數(shù)據(jù)庫安全防護薄弱的緣故，導(dǎo)致其被黑客盯上，并被黑客用勒索信替換了其數(shù)據(jù)庫的450個索引，如需恢復(fù)則需要支付贖金620美元，而總贖金打起來則達到了279,000美元。威脅行為者還設(shè)置了7天付款期限，并威脅在此之后贖金將增加一倍。如果再過一周沒有得到報酬，他們說受害者會丟失索引。而支付了這筆錢的用戶將得到一個下載鏈接，鏈接到他們的數(shù)據(jù)庫轉(zhuǎn)儲，據(jù)稱這將有助于快速恢復(fù)數(shù)據(jù)結(jié)構(gòu)的原始形式。

該活動是由 Secureworks 的威脅分析師發(fā)現(xiàn)的，他們確定了450多個單獨的贖金支付請求。根據(jù)Secureworks的說法，威脅行為者使用一種自動腳本來解析未受保護的數(shù)據(jù)庫，擦除數(shù)據(jù)，并添加贖金，所以在這次行動中似乎沒有任何人工干預(yù)。

而這種勒索活動并不是什么新鮮事，其實之前已經(jīng)發(fā)生過多起類似的網(wǎng)絡(luò)攻擊，而且針對其他數(shù)據(jù)庫管理系統(tǒng)的攻擊手段也如出一轍。通過支付黑客費用來恢復(fù)數(shù)據(jù)庫內(nèi)容是不太可能的情況，因為攻擊者其實無法存儲這么多數(shù)據(jù)庫的數(shù)據(jù)。

相反，威脅者只是簡單地刪除不受保護的數(shù)據(jù)庫中的內(nèi)容，并給受害者留下一張勒索信。到目前為止，在勒索信中看到的一個比特幣錢包地址已經(jīng)收到了一筆付款。但是，對于數(shù)據(jù)所有者來說，如果他們不進行定期備份，那么遇到這種情況并丟失所有內(nèi)容就很可能會導(dǎo)致重大的經(jīng)濟損失。雖然一些數(shù)據(jù)庫支持在線服務(wù)，不過總有業(yè)務(wù)中斷的風(fēng)險，其成本可能遠(yuǎn)遠(yuǎn)高于騙子要求的小額金額。此外，機構(gòu)不應(yīng)該排除入侵者竊取數(shù)據(jù)并以各種方式變賣數(shù)據(jù)的可能性。

不幸的是，還是有很多數(shù)據(jù)庫在無任何保護的前提下暴露在公眾視野前，只要這種情況繼續(xù)存在，那它們肯定就會被黑客盯上。Group-IB最近的一份報告顯示，2021年網(wǎng)絡(luò)上暴露的 Elasticsearch 實例超過10萬個，約占2021年暴露數(shù)據(jù)庫總數(shù)的30%。根據(jù)同一份報告，數(shù)據(jù)庫管理員平均需要170天才能意識到他們犯了配置錯誤，但這種失誤已經(jīng)給黑客留下了足夠的攻擊時間。

Secureworks強調(diào)，任何數(shù)據(jù)庫都不應(yīng)該是面向公眾的。此外，如果需要遠(yuǎn)程訪問，管理員應(yīng)為授權(quán)用戶設(shè)置多因素身份驗證，并將訪問權(quán)限僅限于相關(guān)個人。如果將這些服務(wù)外包給云提供商的機構(gòu)，也應(yīng)確保供應(yīng)商的安全政策與他們的標(biāo)準(zhǔn)兼容，并確保所有數(shù)據(jù)得到充分保護。

參考來源：https://www.bleepingcomputer.com/news/security/hundreds-of-elasticsearch-databases-targeted-in-ransom-attacks/