Вслед за MongoDB жертвами ransomware стали кластеры Elasticsearch

После удаления информации из более чем 34 тыс. публичных баз данных MongoDB, в качестве следующей цели для ransomware разработчики вымогательского ПО избрали не имеющие надлежащей защиты кластеры Elasticsearch с сетевым доступом.

Elasticsearch это движок поиска на базе Java, получивший популярность в корпоративной среде. Обычно он применяется в сочетании с платформами аналитики и визуализации данных.

Первое сообщение об атаке ransomware на Elasticsearch появилось на официальных форумах поддержки в прошлый четверг. Все данные тестового кластера были стерты, а оставленное взломщиками сообщение гласило: «SEND 0.2 BTC TO THIS WALLET: 1DAsGY4Kt1a4LCTPMH5vm5PqX32eZmot4r IF YOU WANT RECOVER YOUR DATABASE! SEND TO THIS EMAIL YOUR SERVER IP AFTER SENDING THE BITCOINS».

По оценке исследователей, к настоящему времени аналогичным образом пострадало уже более 600 кластеров Elasticsearch. Общее число уязвимых кластеров в Сети достигает 35 тыс. Если проводить параллели с MongoDB, то количество жертв за считанные дни может возрасти с нескольких сотен до тысяч.

Эксперты настоятельно не рекомендуют пострадавшим платить выкуп вымогателям. В ходе разбора происшествий с MongoDB они не нашли в серверных журналах свидетельств того, что данные перед удалением были скопированы хакерами.

Рекомендации по защите Elasticsearch опубликовал в блоге архитектор поисковых технологий и распределённых систем, Итамар Син-Хершко (Itamar Syn-Hershko). По его мнению, опрашивать Elastic следует через программный «фасад» с сопутствующими фильтрацией, аудитом и паролевой защитой, без привязки к публичным IP.

MongoDB и Elasticsearch это не единственные системы хранения данных, оставляемые без защиты в Интернете, а значит, в обозримом будущем ransomware-атаки на серверы будут продолжаться.