转载声明：文章来源https://juejin.cn/news/7106112746566991902

前言

据报道，Elasticsearch因安全防护薄弱而被黑客盯上。用勒索信替换了450个索引，并要求用户支付620美元来恢复其内容，总赎金已高达279,000美元。

黑客威胁

威胁行为者还设置了7天的付款期限，并威胁如果未按期付款，则之后赎金将增加一倍。如果再过一周没有收到付款，受害者将会丢失他们的索引。而支付了赎金的用户将得到一个指向他们数据库转储的链接。据称，这将有助于他们快速恢复数据的原始结构。

事件过程

发现

该活动是由Secureworks的威胁分析师发现，他们确定了450多个个人赎金的支付请求。

攻击过程

据Secureworks称，威胁行为者使用自动化脚本来解析未受保护的数据库，擦除其数据并添加勒索信。该过程中无需任何人工干预。

类似行为

这种勒索活动已经不是什么新鲜事，在此之前就发生过多起类似的网络攻击，并且针对其他数据库管理系统的攻击手段也是如出一辙。通过想黑客支付赎金来恢复数据库内容是不太可能的情况，因为攻击者无法存储这么多数据库的数据。

相反，威胁者只是删除未受保护的数据库中的内容并留下勒索信，并以此来让受害者相信他们的说法。到目前为止，在勒索信中的一个比特币钱包中，已经收到了一笔付款。

但是，对于数据所有者来说，如果他们不进行定期的备份，那么这种被擦除而丢失的内容很有可能导致重大的经济损失。其中一些数据库支持在线服务，存在业务中断的风险，其成本可能远远高于威胁者要求的赎金金额。此外，不排除入侵者窃取数据并以各种方式将其变卖的可能性。

Elasticsearch 暴露现状

不幸的是，只要数据库无任何保护的前提下暴露在公众之前，那么这种情况就会继续存在，并被黑客所攻击。

Group-IB最近的一份报告显示，2021年网络上暴露的Elasticsearch实例超过10万个，约占2021年暴露数据库总数的30%。

根据同一份报告，数据库管理员平均需要170天才能意识到他们犯了配置错误，但这种失误已经给黑客留下了足够的攻击时间。

防范措施

正如Secureworks强调的，任何数据库都不应该是面向公众的，除非是不可避免的。此外，如果需要远程访问，管理员应为授权用户设置多因素身份验证，并将访问权限集中仅限于相关个人。

将这些服务外包给云服务商的组织，应确保供应商的安全策并与其标准兼容，来确保所有数据得到充分保护。